หนึ่งคำสั่ง ปลอดภัยเต็มรูปแบบ.
CASTOVIA agent ติดตั้งเสร็จภายในไม่ถึง 60 วินาที จัดการความปลอดภัยอัตโนมัติ และสื่อสารกับ CASTOVIA Cloud ผ่านช่องทางที่เข้ารหัส ไม่มีการตั้งค่า firewall ด้วยตนเอง ไม่มี SSH keys ไม่มี VPN
อธิบายคำสั่งติดตั้ง
เกิดอะไรขึ้นแบบเป๊ะๆ เมื่อคุณรันตัวติดตั้งบรรทัดเดียวบนเซิร์ฟเวอร์ Linux ของคุณ
สิ่งที่คำสั่งทำ
คำสั่งติดตั้งบรรทัดเดียวที่คุณคัดลอกจากแดชบอร์ดผู้ดูแลระบบ CASTOVIA จะดำเนินการขั้นตอนต่อไปนี้บนเซิร์ฟเวอร์ Linux ของคุณ:
คำสั่งจริง
คำสั่งที่คุณเห็นในแดชบอร์ดผู้ดูแลระบบมีลักษณะดังนี้:
curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKENYOUR_SERVER_TOKEN คือโทเค็นแบบใช้ครั้งเดียวที่ไม่ซ้ำกันซึ่งสร้างต่อโหนดแต่ละตัว มันจะหมดอายุหลังจาก 24 ชั่วโมงหากไม่ได้ใช้งาน
Agent จะไม่ทำอะไรบ้าง
ขอบเขตชัดเจน Agent ถูกจำกัดความสามารถโดยตั้งใจ
ความปลอดภัย — มีมาในตัว ไม่ได้ต่อเติมทีหลัง
ทุกมาตรการความปลอดภัยเป็นอัตโนมัติ ไม่ต้องตั้งค่าด้วยตนเอง
การยืนยันตัวตนด้วย Server Token
อัตโนมัติทุกโหนดจะได้รับ server token แบบสุ่มเชิงคริปโตที่ไม่ซ้ำกัน (256-bit) โทเค็นนี้สร้างในแอดมิน CASTOVIA เมื่อคุณสร้างโหนด ใช้เพียงครั้งเดียวระหว่างการลงทะเบียน แล้วจะถูกแทนที่ด้วย TLS client certificate ที่หมุนเวียน
การเข้ารหัส TLS 1.3
อัตโนมัติการสื่อสารทั้งหมดระหว่าง agent และ CASTOVIA Cloud ใช้ TLS 1.3 Agent ตรวจสอบ chain ใบรับรองของ CASTOVIA เทียบกับ root CA ที่ pin ไว้ — ไม่เชื่อถือ certificate store ของระบบ การโจมตีแบบ man-in-the-middle ทำไม่ได้
ข้อกำหนดของ Firewall
อัตโนมัติagent ต้องการเพียง outbound HTTPS (พอร์ต 443) ไปยัง CASTOVIA Cloud ไม่จำเป็นต้องเปิดพอร์ตขาเข้า กฎ firewall ของเซิร์ฟเวอร์คุณจะไม่ถูกแตะต้อง — agent ไม่แก้ไข iptables, nftables หรือ firewalld
ไม่ต้องใช้สิทธิ์ root ระหว่างรันไทม์
อัตโนมัติagent ทำงานภายใต้ผู้ใช้ที่ไม่มีสิทธิ์เฉพาะ dedicated (castovia-agent) โดยต้องใช้ root เฉพาะระหว่างการติดตั้ง (เพื่อสร้างบริการ systemd) ระหว่างรันไทม์จะทำงานด้วยสิทธิ์ขั้นต่ำ — อ่านแหล่งสตรีมได้ และเขียนได้เฉพาะไดเรกทอรีแคชของตัวเอง
การหมุนเวียนใบรับรองอัตโนมัติ
อัตโนมัติclient certificates จะหมุนทุก 7 วัน agent จัดการการต่ออายุอย่างโปร่งใส หากใบรับรองหมดอายุ (เช่น เซิร์ฟเวอร์ออฟไลน์) agent จะใช้กระบวนการ re-enrollment ที่ปลอดภัยซึ่งต้องได้รับการอนุมัติในแอดมิน CASTOVIA
การเฝ้าระวังสุขภาพและการกู้คืนตัวเอง
อัตโนมัติagent ตรวจสอบสุขภาพของตัวเอง หากขัดข้อง systemd จะรีสตาร์ตภายใน 5 วินาที หากไม่สามารถเชื่อมต่อ CASTOVIA Cloud ได้ มันจะยังคงให้บริการการกำหนดค่าแคชและจัดคิวเมตริกเพื่อส่งในภายหลัง
โปรโตคอลการสื่อสาร
ข้อมูลไหลระหว่างเซิร์ฟเวอร์ของคุณกับ CASTOVIA Cloud อย่างไร
CASTOVIA Cloud → Agent (Configuration Push)
เชิงเทคนิค: การกำหนดค่าถูกส่งในรูปแบบ payload JSON ที่ลงลายเซ็นแล้ว Agent ตรวจสอบ payload แต่ละชิ้นก่อนนำไปใช้ ไม่มี raw SQL ไม่มี shell commands — มีเพียงการกำหนดค่าที่มีโครงสร้าง
Agent → CASTOVIA Cloud (Telemetry)
เชิงเทคนิค: Telemetry ถูกส่งทุก 30 วินาทีผ่าน HTTPS POST payload ถูกบีบอัด (gzip) และเข้ารหัส ขนาดเฉลี่ย: 2–5 KB ต่อรอบ
สรุปเครือข่าย
| ด้าน | รายละเอียด |
|---|---|
| โปรโตคอล | HTTPS (TLS 1.3) พร้อม certificate pinning |
| พอร์ตขาออก | 443 (เฉพาะ HTTPS) |
| พอร์ตขาเข้า | CASTOVIA ไม่ต้องการ |
| Heartbeat | ทุก 30 วินาที (บีบอัด 2–5 KB) |
| การยืนยันตัวตน | TLS client certificates แบบหมุนเวียน (หมุนทุก 7 วัน) |
| แบนด์วิดท์ | < 1 MB/ชั่วโมง สำหรับทราฟฟิกการจัดการ |
| พฤติกรรมออฟไลน์ | ให้บริการการกำหนดค่าที่แคชไว้ จัดคิว telemetry และเชื่อมต่อใหม่อัตโนมัติ |
| ทราฟฟิกสตรีม | ไม่ถูกส่งผ่าน CASTOVIA — อยู่บนเครือข่ายของคุณเสมอ |
ถอนการติดตั้งอย่างสะอาด
หากคุณลบโหนด agent จะล้างทุกอย่างออกทั้งหมด:
sudo castovia-agent uninstall --purge