Agent & Giao tiếp

Một lệnh. Bảo mật hoàn toàn.

CASTOVIA agent cài đặt trong vòng chưa tới 60 giây, tự động xử lý bảo mật và giao tiếp với CASTOVIA Cloud qua các kênh mã hóa. Không cần quy tắc firewall thủ công, không SSH key, không VPN.

Giải thích lệnh cài đặt

Chính xác điều gì xảy ra khi bạn chạy trình cài đặt một dòng trên máy chủ Linux của mình.

Lệnh làm gì

Lệnh cài đặt một dòng mà bạn sao chép từ bảng điều khiển quản trị CASTOVIA sẽ thực hiện các bước sau trên máy chủ Linux của bạn:

Tải xuống binary của CASTOVIA agent (~15 MB) từ CDN chính thức

Xác minh chữ ký binary (SHA-256 + GPG) để ngăn sửa đổi trái phép

Tạo người dùng hệ thống riêng: castovia-agent (không có shell đăng nhập, không sudo)

Cài đặt binary vào /opt/castovia/agent

Tạo thư mục cấu hình /etc/castovia/ với quyền hạn chế (0700)

Ghi server token (riêng cho từng node) vào /etc/castovia/token.conf

Đăng ký agent như một dịch vụ systemd: castovia-agent.service

Khởi động dịch vụ và bật tự khởi động khi boot

Thực hiện bắt tay lần đầu với CASTOVIA Cloud để đăng ký node

Lệnh thực tế

Lệnh bạn thấy trong bảng điều khiển quản trị của mình trông như sau:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN là một token duy nhất, chỉ dùng một lần, được tạo riêng cho từng node. Nó hết hạn sau 24 giờ nếu không sử dụng.

Agent KHÔNG làm gì

Ranh giới rõ ràng. Phạm vi của agent được giới hạn có chủ đích.

Không mở bất kỳ cổng inbound nào trên máy chủ của bạn

Không sửa đổi quy tắc firewall của bạn (iptables, nftables, firewalld)

Không cài đặt hoặc sửa đổi SSH key

Không truy cập các ứng dụng khác trên máy chủ của bạn

Không gửi nội dung luồng qua máy chủ CASTOVIA (streams vẫn nằm trên mạng CỦA BẠN)

Không lưu dữ liệu cá nhân của thuê bao trên node

Không yêu cầu VPN hoặc cấu hình mạng đặc biệt

Không chạy với quyền root sau khi cài đặt ban đầu

Bảo mật — Tích hợp sẵn, không gắn thêm

Mọi biện pháp bảo mật đều tự động. Không cần cấu hình thủ công.

Xác thực bằng Server Token

tự động

Mỗi node nhận một server token duy nhất, ngẫu nhiên mật mã (256-bit). Token này được tạo trong admin CASTOVIA khi bạn tạo node. Nó được dùng một lần trong quá trình đăng ký rồi được thay bằng chứng chỉ TLS client luân phiên.

Mã hóa TLS 1.3

tự động

Mọi liên lạc giữa agent và CASTOVIA Cloud đều dùng TLS 1.3. Agent xác thực chuỗi chứng chỉ CASTOVIA dựa trên root CA đã ghim — không tin cậy kho chứng chỉ của hệ thống. Tấn công man-in-the-middle là không thể.

Yêu cầu firewall

tự động

Agent chỉ cần kết nối HTTPS outbound (cổng 443) tới CASTOVIA Cloud. Không cần mở cổng inbound nào. Quy tắc firewall của máy chủ bạn được giữ nguyên — agent không sửa iptables, nftables hay firewalld.

Không cần quyền root khi chạy

tự động

Agent chạy dưới một người dùng không đặc quyền riêng (castovia-agent). Nó chỉ cần root trong lúc cài đặt (để tạo dịch vụ systemd). Khi chạy, nó hoạt động với quyền tối thiểu — đọc nguồn stream, ghi vào thư mục cache riêng của nó.

Luân chuyển chứng chỉ tự động

tự động

Chứng chỉ client được luân chuyển mỗi 7 ngày. Agent xử lý gia hạn một cách minh bạch. Nếu chứng chỉ hết hạn (ví dụ: máy chủ bị offline), agent sẽ dùng luồng đăng ký lại an toàn cần được phê duyệt trong admin CASTOVIA.

Giám sát tình trạng & tự phục hồi

tự động

Agent tự giám sát sức khỏe của mình. Nếu bị treo, systemd sẽ khởi động lại trong vòng 5 giây. Nếu không thể kết nối CASTOVIA Cloud, nó vẫn tiếp tục phục vụ cấu hình đã cache và xếp hàng các số liệu để gửi sau.

Giao thức giao tiếp

Dữ liệu chảy giữa máy chủ của bạn và CASTOVIA Cloud như thế nào.

CASTOVIA Cloud → Agent (đẩy cấu hình)

Cấu hình stream (source URL, cấu hình transcoding, lịch ghi hình)

Các mảnh cấu hình Nginx cho phân phối media

Quy tắc catch-up và timeshift

Dữ liệu EPG và logo kênh

Phân công package/bouquet

Cập nhật quyền thuê bao

Kỹ thuật: Cấu hình được chuyển dưới dạng payload JSON đã ký. Agent xác thực từng payload trước khi áp dụng. Không SQL thô, không lệnh shell — chỉ có cấu hình có cấu trúc.

Agent → CASTOVIA Cloud (Telemetry)

Tình trạng máy chủ: CPU, RAM, mức sử dụng đĩa, I/O mạng

Tình trạng stream: các stream đang hoạt động, bitrate, tỷ lệ lỗi

Tình trạng ghi hình: các bản ghi đang hoạt động, dung lượng đã dùng, trạng thái hoàn thành

Kết quả tác vụ FFmpeg: hoàn thành transcoding, lỗi, kích thước file đầu ra

Số lượng kết nối người xem (tổng hợp ẩn danh — không có dữ liệu cá nhân)

Phiên bản agent và khả năng cập nhật

Kỹ thuật: Telemetry được gửi mỗi 30 giây qua HTTPS POST. Payload được nén (gzip) và mã hóa. Kích thước trung bình: 2–5 KB mỗi khoảng.

Tóm tắt mạng

Khía cạnh	Chi tiết
Giao thức	HTTPS (TLS 1.3) với ghim chứng chỉ
Cổng outbound	443 (chỉ HTTPS)
Cổng inbound	CASTOVIA không yêu cầu
Heartbeat	Mỗi 30 giây (đã nén 2–5 KB)
Xác thực	Chứng chỉ TLS client luân phiên (chu kỳ 7 ngày)
Băng thông	< 1 MB/giờ cho lưu lượng quản trị
Hành vi khi offline	Phục vụ cấu hình đã cache, xếp hàng telemetry, tự kết nối lại
Lưu lượng stream	Không bao giờ đi qua CASTOVIA — vẫn nằm trên mạng của bạn

Gỡ cài đặt sạch

Nếu bạn xóa một node, agent sẽ dọn dẹp hoàn toàn:

sudo castovia-agent uninstall --purge

Dừng và xóa dịch vụ systemd

Xóa binary khỏi /opt/castovia/

Xóa toàn bộ cấu hình khỏi /etc/castovia/

Xóa người dùng hệ thống castovia-agent

Thu hồi chứng chỉ client trên CASTOVIA Cloud

Không còn file, tiến trình hoặc cron job sót lại

Bảng điều khiển quản trị Thiết lập máy chủ Bảo mật Cách hoạt động