一个命令。全面安全。
CASTOVIA 代理可在 60 秒内完成安装,自动处理安全,并通过加密通道与 CASTOVIA Cloud 通信。无需手动防火墙规则、SSH 密钥或 VPN。
安装命令详解
当你在 Linux 服务器上运行这条单行安装命令时,具体会发生什么。
命令会做什么
你从 CASTOVIA 管理面板复制的单行安装命令会在你的 Linux 服务器上执行以下步骤:
实际命令
你在管理面板中看到的命令如下:
curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKENYOUR_SERVER_TOKEN 是每个节点生成的唯一一次性令牌。如果未使用,它会在 24 小时后过期。
代理不会做什么
边界清晰。代理的作用范围是有意限制的。
安全——内建,而不是后补
每项安全措施都是自动的。无需手动配置。
服务器令牌认证
自动每个节点都会获得一个唯一的、加密随机的服务器令牌(256 位)。该令牌在你创建节点时由 CASTOVIA 管理面板生成。它仅在注册时使用一次,随后会被轮换的 TLS 客户端证书替换。
TLS 1.3 加密
自动代理与 CASTOVIA Cloud 之间的所有通信都使用 TLS 1.3。代理会基于固定的根 CA 验证 CASTOVIA 证书链——不信任系统证书存储。中间人攻击不可能发生。
防火墙要求
自动代理只需要通过 HTTPS(443 端口)向 CASTOVIA Cloud 发起出站连接。无需打开任何入站端口。你的服务器防火墙规则保持不变——代理不会修改 iptables、nftables 或 firewalld。
运行时无需 root 访问
自动代理以专用的非特权用户(castovia-agent)运行。它只在安装时需要 root(用于创建 systemd 服务)。运行时,它仅以最小权限运行——可读取流源,写入自己的缓存目录。
自动证书轮换
自动客户端证书每 7 天轮换一次。代理会透明地处理续期。如果证书过期(例如服务器离线),代理会使用安全的重新注册流程,该流程需要在 CASTOVIA 管理面板中批准。
健康监控与自我修复
自动代理会监控自身健康状况。如果崩溃,systemd 会在 5 秒内重启它。如果无法连接到 CASTOVIA Cloud,它会继续提供缓存配置,并将指标排队,稍后再发送。
通信协议
你的服务器与 CASTOVIA Cloud 之间的数据流动方式。
CASTOVIA Cloud → 代理(配置推送)
技术: 配置以签名 JSON 负载的形式传递。代理在应用前会验证每个负载。没有原始 SQL,没有 shell 命令——只有结构化配置。
代理 → CASTOVIA Cloud(遥测)
技术: 遥测每 30 秒通过 HTTPS POST 发送一次。负载经过压缩(gzip)和加密。平均大小:每个间隔 2–5 KB。
网络摘要
| 方面 | 详情 |
|---|---|
| 协议 | HTTPS(TLS 1.3)并启用证书固定 |
| 出站端口 | 443(仅 HTTPS) |
| 入站端口 | CASTOVIA 不需要 |
| 心跳 | 每 30 秒一次(压缩后 2–5 KB) |
| 认证 | 轮换 TLS 客户端证书(7 天轮换) |
| 带宽 | 管理流量 < 1 MB/小时 |
| 离线行为 | 提供缓存配置、排队遥测、自动重连 |
| 流量 | 从不经由 CASTOVIA 路由——始终留在你的网络中 |
干净卸载
如果你移除某个节点,代理会彻底清理:
sudo castovia-agent uninstall --purge