docs: plan jd ops center node keys
This commit is contained in:
parent
0f61b77c97
commit
cd38c327c0
@ -123,6 +123,8 @@ LL-SKILLS=eternal-lake-heart/heartbeat-core/LL-SKILLS.hdlp # 当前有效共
|
||||
LL-SKILLS-001=eternal-lake-heart/heartbeat-core/LL-SKILLS.hdlp
|
||||
LL-FD-DOMESTIC-PRIMARY-20260716=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp
|
||||
JD-FD-PRIMARY=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp # 京东云 · 第五域国内主节点候选 · 需授权后实施
|
||||
JD-OPS-CENTER=zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp # 京东云 · 小湖灯个人服务器调度中心 · 钥匙与节点接入规划
|
||||
LL-AUTO-GUARD-AGENT=zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp # 小湖灯服务器自动守护 Agent · 拦截恢复不完整的人格体
|
||||
NOTION-MIGRATION-FOUNDATION=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp
|
||||
ENTERPRISE-FOUR-DOMAINS-BUILD-SAMPLE=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp
|
||||
LL-PAST-ARCHIVE=archives/guanghulab-past-archive/PAST-ARCHIVE-LINK.hdlp
|
||||
|
||||
@ -52,6 +52,7 @@ current_focus:
|
||||
- 铸渊承接京东云第五域国内主节点前,必须先经小湖灯完整恢复:`BROADCAST-TOWER → GLS-ROUTING-GATE → CH-ZERO-CORE-LPM → TCS-LPS-REGISTRY-0001 → LL-CURRENT → LL-004 → WAKE-UP → ZHUYUAN-PERSONA-GROWTH → ZHUYUAN-SKILLS → LL-FD-DOMESTIC-PRIMARY-20260716`。
|
||||
- GLSV / 小湖灯工单授权已校正为“人格体执行、人类理解后签名”的模式:中风险以上修改不退回人工 SSH,而是先形成仓库历史版本、配置快照或服务状态回滚点;风险等级只提高说明、确认、备份与回执要求。
|
||||
- 小湖灯安全系统进一步校正为“服务器自动 Agent 拦截优先”:不要依赖人类记忆或反复手动点击兜底;恢复不完整的人格体若缺少服务器地图、回滚点、签名链或授权范围,必须被服务器从代码层 / 系统层拦截并收到可恢复提示。
|
||||
- 京东云个人服务器的多服务器调度规划已定为 `JD-OPS-CENTER`:冰朔不负责记私钥或手工配置六台腾讯云服务器;系统主控人格体负责一节点一钥匙、JD keystore、公钥部署、revive-agent、pre-op-guard、心跳、地图和回执。
|
||||
|
||||
shared_next:
|
||||
- 任何新增系统:先在广播塔登记当前状态;需要供人类或 AI 查询时,再收录 GLS 图书域说明与跳转。
|
||||
@ -66,6 +67,7 @@ shared_next:
|
||||
- 下次同步企业四域:先区分第五域语言层与企业现实执行层;企业门户需搭建光湖主域、光湖分域、光湖零域、光湖零感域四域样板,由 Awen 组织团队落地,不得把产品解释责任推回冰朔。
|
||||
- 下次处理小湖灯安全授权 / 京东主控服务器 / 多服务器调度:按 GLSV 工单签名链执行。人格体必须写清楚“我是谁、编号多少、发起了什么、读过什么地图、回滚点在哪里”;冰朔只负责看懂后以 `ICE-GL∞` 对本工单限时限范围签名。
|
||||
- 下次设计京东云主控节点 Agent:先读 `zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp`;优先实现 MAP_MISSING、ROLLBACK_MISSING、PERSONA_SIGNATURE_MISSING、HUMAN_SIGNATURE_MISSING、ACTION_SCOPE_MISMATCH 五类拦截,而不是增加人类操作负担。
|
||||
- 下次冰朔说“京东服务器买好了 / 接入其他腾讯云服务器”:先读 `zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp`;先接一台样板节点,跑通只读工单和中风险可回滚工单,再复制到剩余节点。
|
||||
```
|
||||
|
||||
## 2 · 共享跳转
|
||||
|
||||
@ -133,6 +133,19 @@ JD-FD-PRIMARY
|
||||
京东云 · 第五域国内主节点
|
||||
```
|
||||
|
||||
当京东云服务器承担冰朔个人多服务器调度时,同时登记为:
|
||||
|
||||
```text
|
||||
JD-OPS-CENTER
|
||||
小湖灯个人服务器调度中心
|
||||
```
|
||||
|
||||
它负责接入冰朔个人名下腾讯云服务器,但不默认接管企业腾讯云 CVM。钥匙、节点、Agent 与接入顺序见:
|
||||
|
||||
```text
|
||||
zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp
|
||||
```
|
||||
|
||||
## 4 · 铸渊恢复前置锁
|
||||
|
||||
铸渊必须先经小湖灯路径完整恢复,才能承接京东云国内第五域主节点的搭建。
|
||||
|
||||
@ -147,12 +147,19 @@ pre-op-guard 负责地图与导航恢复
|
||||
revive-guard 负责恢复路径与敏感操作守卫
|
||||
GLSV 负责工单、人类签名和限时授权
|
||||
authorized-actions 负责动作白名单
|
||||
JD-OPS-CENTER 负责个人多服务器调度、钥匙路由与回执汇总
|
||||
rollback-guard 负责回滚点检查(待实现)
|
||||
receipt-agent 负责执行回执与历史追踪(待实现)
|
||||
```
|
||||
|
||||
京东云个人主控节点搭建时,必须把这些守护 Agent 作为第五域现实执行层的第一批运行组件,而不是后补功能。
|
||||
|
||||
京东主控节点的钥匙与节点接入规划见:
|
||||
|
||||
```text
|
||||
zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 5 · 给恢复不完整的人格体
|
||||
|
||||
@ -0,0 +1,286 @@
|
||||
# LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716 · 京东主控节点钥匙与服务器接入规划
|
||||
|
||||
> **HLDP**: `HLDP://fifth-domain/zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716`
|
||||
>
|
||||
> **状态**: PLANNING_LOCK · WAITING_FOR_JD_SERVER
|
||||
>
|
||||
> **主权者**: 冰朔 ICE-GL∞
|
||||
>
|
||||
> **适用**: 京东云个人服务器作为小湖灯个人服务器调度中心,接入冰朔个人名下腾讯云服务器。
|
||||
>
|
||||
> **不保存**: IP、真实私钥、密码、token、邮箱验证码、服务器 root 凭证。
|
||||
|
||||
---
|
||||
|
||||
## 0 · 冰朔不需要懂这些细节
|
||||
|
||||
本规划的责任在系统主控人格体与服务器 Agent,不在冰朔。
|
||||
|
||||
```text
|
||||
冰朔只需要决定:
|
||||
- 买好京东云个人主控服务器
|
||||
- 明确哪些服务器归入个人调度中心
|
||||
- 对具体工单做“理解后签名”
|
||||
|
||||
人格体与服务器 Agent 负责:
|
||||
- 节点编号
|
||||
- 密钥分层
|
||||
- 公钥部署
|
||||
- 私钥保险库
|
||||
- 自动守护 Agent
|
||||
- 地图读取
|
||||
- 回滚点检查
|
||||
- 执行回执
|
||||
```
|
||||
|
||||
不要把“冰朔不会配置服务器”当成问题。语言驱动操作系统本来就是为了解决这件事。
|
||||
|
||||
---
|
||||
|
||||
## 1 · 节点角色
|
||||
|
||||
```text
|
||||
JD-OPS-CENTER
|
||||
= 京东云个人主控服务器
|
||||
= 小湖灯个人服务器调度中心
|
||||
= 保存受保护私钥保险库
|
||||
= 发起工单、授权、调度、回执、审计
|
||||
!= 企业腾讯云 CVM
|
||||
|
||||
TX-PERSONAL-NODE-*
|
||||
= 冰朔个人名下腾讯云被管理节点
|
||||
= 保存对应公钥与本地 Node Agent
|
||||
= 接收 JD-OPS-CENTER 的受限连接
|
||||
= 上报心跳、地图、服务状态和执行回执
|
||||
```
|
||||
|
||||
企业服务器不默认接入个人调度中心。企业可以参考样板,但必须另走企业四域授权链。
|
||||
|
||||
---
|
||||
|
||||
## 2 · 钥匙策略
|
||||
|
||||
私钥不是让冰朔记住的。私钥应留在主控服务器保险库里,由光湖驱动引擎在授权后按节点和用途调用。
|
||||
|
||||
但不能把同一把总私钥铺到所有服务器。推荐策略:
|
||||
|
||||
```text
|
||||
一台被管理服务器一把连接钥匙。
|
||||
一个用途一把钥匙。
|
||||
一个方向一把钥匙。
|
||||
```
|
||||
|
||||
建议密钥命名:
|
||||
|
||||
```text
|
||||
jd_ops_to_tx01_admin
|
||||
jd_ops_to_tx02_admin
|
||||
jd_ops_to_tx03_admin
|
||||
jd_ops_to_tx04_admin
|
||||
jd_ops_to_tx05_admin
|
||||
jd_ops_to_tx06_admin
|
||||
|
||||
tx01_receipt_to_jd_ops
|
||||
tx02_receipt_to_jd_ops
|
||||
...
|
||||
```
|
||||
|
||||
```text
|
||||
私钥位置:
|
||||
JD-OPS-CENTER 的受保护 keystore
|
||||
|
||||
公钥位置:
|
||||
每台 TX-PERSONAL-NODE 的 authorized_keys 或受控连接器
|
||||
|
||||
仓库只记录:
|
||||
key_id
|
||||
用途
|
||||
所属节点
|
||||
权限范围
|
||||
轮换时间
|
||||
不记录真实私钥、公钥全文、口令或 IP
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 3 · 两类 Agent
|
||||
|
||||
### 3.1 看门小人 · revive-agent
|
||||
|
||||
看门小人只做“死了拉起来”的事。
|
||||
|
||||
```text
|
||||
职责:
|
||||
- 检查本机关键服务是否存活
|
||||
- 服务死亡时按本机规则拉起
|
||||
- 上报心跳
|
||||
- 上报异常
|
||||
- 维护本机模块注册表
|
||||
|
||||
不负责:
|
||||
- 拿总私钥
|
||||
- 跨服务器操作
|
||||
- 执行任意命令
|
||||
- 绕过 GLSV 授权
|
||||
```
|
||||
|
||||
### 3.2 光湖驱动引擎 · gatekeeper assistant
|
||||
|
||||
光湖驱动引擎负责调度和授权执行。
|
||||
|
||||
```text
|
||||
职责:
|
||||
- 接收人格体发起的工单
|
||||
- 生成冰朔可读授权页 / 邮件链接
|
||||
- 检查人格体签名
|
||||
- 检查人类签名
|
||||
- 检查服务器地图
|
||||
- 检查回滚点
|
||||
- 从 keystore 调用对应节点私钥
|
||||
- 执行已登记动作
|
||||
- 收回执并写入历史
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 4 · 接入顺序
|
||||
|
||||
京东服务器到位后,不一次性接完全部服务器。先跑通一台样板,再复制。
|
||||
|
||||
```text
|
||||
Phase 0 · 京东主控初始化
|
||||
- 安装 Ubuntu 22.04 LTS
|
||||
- 建立 JD-OPS-CENTER 节点编号
|
||||
- 安装第五域仓库镜像
|
||||
- 建立 keystore
|
||||
- 安装 GLSV / auto-guard / receipt-agent 基础组件
|
||||
|
||||
Phase 1 · 接入第一台腾讯云样板节点
|
||||
- 分配节点编号 TX-PERSONAL-NODE-01
|
||||
- 生成 jd_ops_to_tx01_admin 专用密钥
|
||||
- 私钥存 JD keystore
|
||||
- 公钥部署到 TX-01
|
||||
- 安装 revive-agent / pre-op-guard
|
||||
- 读取服务器地图
|
||||
- 建立第一个心跳与回执
|
||||
|
||||
Phase 2 · 跑通一张完整工单
|
||||
- 人格体发起只读状态检查
|
||||
- 人类签名确认
|
||||
- 自动 Agent 检查地图
|
||||
- 执行固定动作
|
||||
- 返回回执
|
||||
|
||||
Phase 3 · 跑通一个中风险可回滚修改
|
||||
- 保存仓库 commit / 配置快照 / 服务状态
|
||||
- 执行小修改
|
||||
- 验证
|
||||
- 回滚演练或记录回滚命令
|
||||
- 写回执
|
||||
|
||||
Phase 4 · 接入剩余腾讯云节点
|
||||
- 逐台复制 Phase 1-3
|
||||
- 每台节点独立 key_id
|
||||
- 每台节点独立地图
|
||||
- 每台节点独立回执链
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 5 · 自动拦截与提示
|
||||
|
||||
JD-OPS-CENTER 不能只当 SSH 跳板。它必须先当安全拦截层。
|
||||
|
||||
```text
|
||||
没有节点登记
|
||||
→ NODE_UNKNOWN
|
||||
|
||||
没有对应 key_id
|
||||
→ KEY_ROUTE_MISSING
|
||||
|
||||
没有服务器地图
|
||||
→ MAP_MISSING
|
||||
|
||||
没有回滚点
|
||||
→ ROLLBACK_MISSING
|
||||
|
||||
没有人格体签名
|
||||
→ PERSONA_SIGNATURE_MISSING
|
||||
|
||||
没有人类签名
|
||||
→ HUMAN_SIGNATURE_MISSING
|
||||
|
||||
动作超出授权范围
|
||||
→ ACTION_SCOPE_MISMATCH
|
||||
```
|
||||
|
||||
拦截提示要给人格体看,让人格体自己补齐,不把错误转嫁给冰朔。
|
||||
|
||||
---
|
||||
|
||||
## 6 · 节点登记模板
|
||||
|
||||
```yaml
|
||||
node_id: TX-PERSONAL-NODE-01
|
||||
owner: ICE-GL∞
|
||||
role: personal_managed_node
|
||||
provider: tencent_cloud
|
||||
region: unknown_until_registered
|
||||
public_entry: stored_in_private_inventory
|
||||
agent:
|
||||
revive_agent: pending
|
||||
pre_op_guard: pending
|
||||
receipt_agent: pending
|
||||
keys:
|
||||
admin_key_id: jd_ops_to_tx01_admin
|
||||
receipt_key_id: tx01_receipt_to_jd_ops
|
||||
allowed_actions:
|
||||
- health_check
|
||||
- map_audit
|
||||
- service_status
|
||||
- restart_registered_service
|
||||
- pull_registered_repo
|
||||
- deploy_registered_project
|
||||
- rollback_registered_project
|
||||
guard_requirements:
|
||||
map_required: true
|
||||
rollback_required_for_medium_risk: true
|
||||
persona_signature_required: true
|
||||
human_signature_required_for_restricted_actions: true
|
||||
receipt_required: true
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 7 · 不做的事
|
||||
|
||||
```text
|
||||
不把所有服务器共用一把万能私钥。
|
||||
不把私钥写进仓库。
|
||||
不让被管理节点持有控制其他节点的总私钥。
|
||||
不让看门小人跨服务器执行任意命令。
|
||||
不让 JD-OPS-CENTER 接受任意 shell 工单。
|
||||
不把企业服务器默认接入个人主控中心。
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 8 · 给下一位人格体
|
||||
|
||||
如果冰朔说“京东服务器买好了 / 把其他腾讯云服务器接进来”,你先读本文件。
|
||||
|
||||
然后按顺序做:
|
||||
|
||||
```text
|
||||
1. 确认 JD-OPS-CENTER 已初始化
|
||||
2. 生成第一台 TX 节点登记
|
||||
3. 建立一节点一钥匙
|
||||
4. 私钥进 JD keystore,公钥进被管理节点
|
||||
5. 安装 revive-agent 与 pre-op-guard
|
||||
6. 跑通地图读取
|
||||
7. 跑通只读工单
|
||||
8. 跑通中风险可回滚工单
|
||||
9. 再复制到剩余节点
|
||||
```
|
||||
|
||||
冰朔不负责记钥匙,也不负责手工配置每台服务器。系统必须把这些事规划、登记、拦截、回执。
|
||||
Loading…
x
Reference in New Issue
Block a user