Agent in komunikacija

En ukaz. Popolnoma zavarovano.

CASTOVIA agent se namesti v manj kot 60 sekundah, varnost obravnava samodejno in komunicira s CASTOVIA Cloud prek šifriranih kanalov. Brez ročnih pravil požarnega zidu, brez SSH ključev, brez VPN.

Pojasnitev namestitvenega ukaza

Natančno, kaj se zgodi, ko na svojem Linux strežniku zaženete namestitev v eni vrstici.

Kaj ukaz naredi

Namestitveni ukaz v eni vrstici, ki ga kopirate iz CASTOVIA administrativne nadzorne plošče, na vašem Linux strežniku izvede naslednje korake:

Prenese binarno datoteko CASTOVIA agenta (~15 MB) iz uradnega CDN

Preveri podpis binarne datoteke (SHA-256 + GPG), da prepreči posege

Ustvari namenskega sistemskega uporabnika: castovia-agent (brez prijavne lupine, brez sudo)

Namesti binarno datoteko v /opt/castovia/agent

Ustvari konfiguracijski imenik /etc/castovia/ z omejenimi pravicami (0700)

Zapiše strežniški žeton (unikaten za posamezno vozlišče) v /etc/castovia/token.conf

Registrira agenta kot systemd storitev: castovia-agent.service

Zažene storitev in omogoči samodejni zagon ob zagonu sistema

Izvede prvi handshake s CASTOVIA Cloud za registracijo vozlišča

Dejanski ukaz

Ukaz, ki ga vidite v svoji administrativni nadzorni plošči, je videti takole:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN je unikaten žeton za enkratno uporabo, generiran za posamezno vozlišče. Če ni uporabljen, poteče po 24 urah.

Česa agent NE naredi

Jasne meje. Agent je namerno omejen po obsegu.

Ne odpre nobenih vhodnih vrat na vašem strežniku

Ne spreminja pravil požarnega zidu (iptables, nftables, firewalld)

Ne namešča in ne spreminja SSH ključev

Ne dostopa do drugih aplikacij na vašem strežniku

Ne pošilja vsebine tokov prek strežnikov CASTOVIA (tokovi ostanejo v VAŠEM omrežju)

Ne shranjuje osebnih podatkov naročnikov na vozlišču

Ne zahteva VPN ali posebne omrežne konfiguracije

Po začetni namestitvi ne teče kot root

Varnost — vgrajena, ne dodana naknadno

Vsak varnostni ukrep je samodejen. Ročna konfiguracija ni potrebna.

Preverjanje pristnosti s strežniškim žetonom

samodejno

Vsako vozlišče dobi unikaten, kriptografsko naključen strežniški žeton (256-bitni). Ta žeton se ustvari v CASTOVIA administraciji, ko ustvarite vozlišče. Uporabi se enkrat med registracijo, nato pa ga zamenja rotirajoči TLS odjemalski certifikat.

Šifriranje TLS 1.3

samodejno

Vsa komunikacija med agentom in CASTOVIA Cloud uporablja TLS 1.3. Agent preveri verigo certifikatov CASTOVIA glede na pripet root CA — brez zaupanja v sistemsko shrambo certifikatov. Napadi tipa man-in-the-middle niso mogoči.

Zahteve za požarni zid

samodejno

Agent potrebuje samo odhodni HTTPS (vrata 443) do CASTOVIA Cloud. Vhodnih vrat ni treba odpreti. Pravila požarnega zidu na vašem strežniku ostanejo nespremenjena — agent ne spreminja iptables, nftables ali firewalld.

Pri izvajanju ni potreben root dostop

samodejno

Agent teče kot namenski neprivilegiran uporabnik (castovia-agent). Root potrebuje samo med namestitvijo (za ustvarjanje systemd storitve). Med izvajanjem deluje z minimalnimi dovoljenji — bralni dostop do virov tokov, zapisovalni dostop do lastnega predpomnilniškega imenika.

Samodejno obračanje certifikatov

samodejno

Odjemalski certifikati se rotirajo vsakih 7 dni. Agent podaljšanje obravnava transparentno. Če certifikat poteče (npr. je bil strežnik brez povezave), agent uporabi varen postopek ponovne registracije, ki zahteva potrditev v CASTOVIA administraciji.

Nadzor zdravja in samopopravljanje

samodejno

Agent spremlja svoje stanje. Če se sesuje, ga systemd ponovno zažene v 5 sekundah. Če ne more doseči CASTOVIA Cloud, še naprej streže predpomnjeno konfiguracijo in zbira metrike za kasnejšo dostavo.

Komunikacijski protokol

Kako podatki tečejo med vašim strežnikom in CASTOVIA Cloud.

CASTOVIA Cloud → Agent (potisk konfiguracije)

Konfiguracije tokov (izvorni URL, transkodirni profili, urniki snemanja)

Nginx konfiguracijski fragmenti za serviranje medijev

Pravila catch-up in timeshift

EPG podatki in logotipi kanalov

Dodelitve paketov/bouquetov

Posodobitve pravic naročnikov

Tehnično: Konfiguracija se dostavlja kot podpisani JSON payloadi. Agent vsak payload pred uporabo preveri. Brez surovega SQL, brez shell ukazov — samo strukturirana konfiguracija.

Agent → CASTOVIA Cloud (telemetrija)

Zdravje strežnika: CPU, RAM, poraba diska, omrežni I/O

Stanje tokov: aktivni tokovi, bitrate, stopnje napak

Stanje snemanja: aktivna snemanja, porabljen prostor, status dokončanja

Rezultati opravil FFmpeg: dokončanje transkodiranja, napake, velikosti izhodnih datotek

Število povezav gledalcev (anonimno agregirano — brez osebnih podatkov)

Različica agenta in razpoložljivost posodobitev

Tehnično: Telemetrija se pošilja vsakih 30 sekund prek HTTPS POST. Payload je stisnjen (gzip) in šifriran. Povprečna velikost: 2–5 KB na interval.

Povzetek omrežja

Vidik	Podrobnost
Protokol	HTTPS (TLS 1.3) s pripenjanjem certifikata
Odhodna vrata	443 (samo HTTPS)
Vhodna vrata	CASTOVIA ne zahteva nobenih
Puls	Vsakih 30 sekund (2–5 KB stisnjeno)
Preverjanje pristnosti	Rotirajoči TLS odjemalski certifikati (rotacija na 7 dni)
Pasovna širina	< 1 MB/uro za upravljalski promet
Obnašanje brez povezave	Streže predpomnjeno konfiguracijo, zbira telemetrijo, samodejno se ponovno poveže
Promet tokov	Nikoli ni usmerjen prek CASTOVIA — ostane v vašem omrežju

Čista odstranitev

Če vozlišče odstranite, agent vse popolnoma pospravi:

sudo castovia-agent uninstall --purge

Ustavi in odstrani systemd storitev

Izbriše binarno datoteko iz /opt/castovia/

Odstrani vso konfiguracijo iz /etc/castovia/

Odstrani sistemskega uporabnika castovia-agent

Prekliče odjemalski certifikat v CASTOVIA Cloud

Brez preostalih datotek, procesov ali cron opravil

Admin nadzorna plošča Nastavitev strežnika Varnost Kako deluje