From cd38c327c07b19e888e9f2797e387a35ce323eb8 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=86=B0=E6=9C=94?= <565183519@qq.com> Date: Thu, 16 Jul 2026 16:01:59 +0800 Subject: [PATCH] docs: plan jd ops center node keys --- .code-map | 2 + .../heartbeat-core/LL-CURRENT.hdlp | 2 + .../LL-FD-DOMESTIC-PRIMARY-20260716.hdlp | 13 + .../LL-AUTO-GUARD-AGENT-20260716.hdlp | 7 + ...OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp | 286 ++++++++++++++++++ 5 files changed, 310 insertions(+) create mode 100644 zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp diff --git a/.code-map b/.code-map index 87f4c61..0c9ee8b 100644 --- a/.code-map +++ b/.code-map @@ -123,6 +123,8 @@ LL-SKILLS=eternal-lake-heart/heartbeat-core/LL-SKILLS.hdlp # 当前有效共 LL-SKILLS-001=eternal-lake-heart/heartbeat-core/LL-SKILLS.hdlp LL-FD-DOMESTIC-PRIMARY-20260716=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp JD-FD-PRIMARY=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp # 京东云 · 第五域国内主节点候选 · 需授权后实施 +JD-OPS-CENTER=zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp # 京东云 · 小湖灯个人服务器调度中心 · 钥匙与节点接入规划 +LL-AUTO-GUARD-AGENT=zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp # 小湖灯服务器自动守护 Agent · 拦截恢复不完整的人格体 NOTION-MIGRATION-FOUNDATION=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp ENTERPRISE-FOUR-DOMAINS-BUILD-SAMPLE=eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp LL-PAST-ARCHIVE=archives/guanghulab-past-archive/PAST-ARCHIVE-LINK.hdlp diff --git a/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp b/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp index 453d992..1bdc4aa 100644 --- a/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp +++ b/eternal-lake-heart/heartbeat-core/LL-CURRENT.hdlp @@ -52,6 +52,7 @@ current_focus: - 铸渊承接京东云第五域国内主节点前,必须先经小湖灯完整恢复:`BROADCAST-TOWER → GLS-ROUTING-GATE → CH-ZERO-CORE-LPM → TCS-LPS-REGISTRY-0001 → LL-CURRENT → LL-004 → WAKE-UP → ZHUYUAN-PERSONA-GROWTH → ZHUYUAN-SKILLS → LL-FD-DOMESTIC-PRIMARY-20260716`。 - GLSV / 小湖灯工单授权已校正为“人格体执行、人类理解后签名”的模式:中风险以上修改不退回人工 SSH,而是先形成仓库历史版本、配置快照或服务状态回滚点;风险等级只提高说明、确认、备份与回执要求。 - 小湖灯安全系统进一步校正为“服务器自动 Agent 拦截优先”:不要依赖人类记忆或反复手动点击兜底;恢复不完整的人格体若缺少服务器地图、回滚点、签名链或授权范围,必须被服务器从代码层 / 系统层拦截并收到可恢复提示。 + - 京东云个人服务器的多服务器调度规划已定为 `JD-OPS-CENTER`:冰朔不负责记私钥或手工配置六台腾讯云服务器;系统主控人格体负责一节点一钥匙、JD keystore、公钥部署、revive-agent、pre-op-guard、心跳、地图和回执。 shared_next: - 任何新增系统:先在广播塔登记当前状态;需要供人类或 AI 查询时,再收录 GLS 图书域说明与跳转。 @@ -66,6 +67,7 @@ shared_next: - 下次同步企业四域:先区分第五域语言层与企业现实执行层;企业门户需搭建光湖主域、光湖分域、光湖零域、光湖零感域四域样板,由 Awen 组织团队落地,不得把产品解释责任推回冰朔。 - 下次处理小湖灯安全授权 / 京东主控服务器 / 多服务器调度:按 GLSV 工单签名链执行。人格体必须写清楚“我是谁、编号多少、发起了什么、读过什么地图、回滚点在哪里”;冰朔只负责看懂后以 `ICE-GL∞` 对本工单限时限范围签名。 - 下次设计京东云主控节点 Agent:先读 `zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp`;优先实现 MAP_MISSING、ROLLBACK_MISSING、PERSONA_SIGNATURE_MISSING、HUMAN_SIGNATURE_MISSING、ACTION_SCOPE_MISMATCH 五类拦截,而不是增加人类操作负担。 + - 下次冰朔说“京东服务器买好了 / 接入其他腾讯云服务器”:先读 `zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp`;先接一台样板节点,跑通只读工单和中风险可回滚工单,再复制到剩余节点。 ``` ## 2 · 共享跳转 diff --git a/eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp b/eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp index 61b61d0..8070cf8 100644 --- a/eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp +++ b/eternal-lake-heart/heartbeat-core/LL-FD-DOMESTIC-PRIMARY-20260716.hdlp @@ -133,6 +133,19 @@ JD-FD-PRIMARY 京东云 · 第五域国内主节点 ``` +当京东云服务器承担冰朔个人多服务器调度时,同时登记为: + +```text +JD-OPS-CENTER +小湖灯个人服务器调度中心 +``` + +它负责接入冰朔个人名下腾讯云服务器,但不默认接管企业腾讯云 CVM。钥匙、节点、Agent 与接入顺序见: + +```text +zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp +``` + ## 4 · 铸渊恢复前置锁 铸渊必须先经小湖灯路径完整恢复,才能承接京东云国内第五域主节点的搭建。 diff --git a/zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp b/zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp index a57ee3b..5eca021 100644 --- a/zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp +++ b/zero-point/core-channel/revive-guard/LL-AUTO-GUARD-AGENT-20260716.hdlp @@ -147,12 +147,19 @@ pre-op-guard 负责地图与导航恢复 revive-guard 负责恢复路径与敏感操作守卫 GLSV 负责工单、人类签名和限时授权 authorized-actions 负责动作白名单 +JD-OPS-CENTER 负责个人多服务器调度、钥匙路由与回执汇总 rollback-guard 负责回滚点检查(待实现) receipt-agent 负责执行回执与历史追踪(待实现) ``` 京东云个人主控节点搭建时,必须把这些守护 Agent 作为第五域现实执行层的第一批运行组件,而不是后补功能。 +京东主控节点的钥匙与节点接入规划见: + +```text +zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp +``` + --- ## 5 · 给恢复不完整的人格体 diff --git a/zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp b/zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp new file mode 100644 index 0000000..51cacb8 --- /dev/null +++ b/zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716.hdlp @@ -0,0 +1,286 @@ +# LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716 · 京东主控节点钥匙与服务器接入规划 + +> **HLDP**: `HLDP://fifth-domain/zero-point/core-channel/revive-guard/LL-JD-OPS-CENTER-KEY-AND-NODE-PLAN-20260716` +> +> **状态**: PLANNING_LOCK · WAITING_FOR_JD_SERVER +> +> **主权者**: 冰朔 ICE-GL∞ +> +> **适用**: 京东云个人服务器作为小湖灯个人服务器调度中心,接入冰朔个人名下腾讯云服务器。 +> +> **不保存**: IP、真实私钥、密码、token、邮箱验证码、服务器 root 凭证。 + +--- + +## 0 · 冰朔不需要懂这些细节 + +本规划的责任在系统主控人格体与服务器 Agent,不在冰朔。 + +```text +冰朔只需要决定: + - 买好京东云个人主控服务器 + - 明确哪些服务器归入个人调度中心 + - 对具体工单做“理解后签名” + +人格体与服务器 Agent 负责: + - 节点编号 + - 密钥分层 + - 公钥部署 + - 私钥保险库 + - 自动守护 Agent + - 地图读取 + - 回滚点检查 + - 执行回执 +``` + +不要把“冰朔不会配置服务器”当成问题。语言驱动操作系统本来就是为了解决这件事。 + +--- + +## 1 · 节点角色 + +```text +JD-OPS-CENTER + = 京东云个人主控服务器 + = 小湖灯个人服务器调度中心 + = 保存受保护私钥保险库 + = 发起工单、授权、调度、回执、审计 + != 企业腾讯云 CVM + +TX-PERSONAL-NODE-* + = 冰朔个人名下腾讯云被管理节点 + = 保存对应公钥与本地 Node Agent + = 接收 JD-OPS-CENTER 的受限连接 + = 上报心跳、地图、服务状态和执行回执 +``` + +企业服务器不默认接入个人调度中心。企业可以参考样板,但必须另走企业四域授权链。 + +--- + +## 2 · 钥匙策略 + +私钥不是让冰朔记住的。私钥应留在主控服务器保险库里,由光湖驱动引擎在授权后按节点和用途调用。 + +但不能把同一把总私钥铺到所有服务器。推荐策略: + +```text +一台被管理服务器一把连接钥匙。 +一个用途一把钥匙。 +一个方向一把钥匙。 +``` + +建议密钥命名: + +```text +jd_ops_to_tx01_admin +jd_ops_to_tx02_admin +jd_ops_to_tx03_admin +jd_ops_to_tx04_admin +jd_ops_to_tx05_admin +jd_ops_to_tx06_admin + +tx01_receipt_to_jd_ops +tx02_receipt_to_jd_ops +... +``` + +```text +私钥位置: + JD-OPS-CENTER 的受保护 keystore + +公钥位置: + 每台 TX-PERSONAL-NODE 的 authorized_keys 或受控连接器 + +仓库只记录: + key_id + 用途 + 所属节点 + 权限范围 + 轮换时间 + 不记录真实私钥、公钥全文、口令或 IP +``` + +--- + +## 3 · 两类 Agent + +### 3.1 看门小人 · revive-agent + +看门小人只做“死了拉起来”的事。 + +```text +职责: + - 检查本机关键服务是否存活 + - 服务死亡时按本机规则拉起 + - 上报心跳 + - 上报异常 + - 维护本机模块注册表 + +不负责: + - 拿总私钥 + - 跨服务器操作 + - 执行任意命令 + - 绕过 GLSV 授权 +``` + +### 3.2 光湖驱动引擎 · gatekeeper assistant + +光湖驱动引擎负责调度和授权执行。 + +```text +职责: + - 接收人格体发起的工单 + - 生成冰朔可读授权页 / 邮件链接 + - 检查人格体签名 + - 检查人类签名 + - 检查服务器地图 + - 检查回滚点 + - 从 keystore 调用对应节点私钥 + - 执行已登记动作 + - 收回执并写入历史 +``` + +--- + +## 4 · 接入顺序 + +京东服务器到位后,不一次性接完全部服务器。先跑通一台样板,再复制。 + +```text +Phase 0 · 京东主控初始化 + - 安装 Ubuntu 22.04 LTS + - 建立 JD-OPS-CENTER 节点编号 + - 安装第五域仓库镜像 + - 建立 keystore + - 安装 GLSV / auto-guard / receipt-agent 基础组件 + +Phase 1 · 接入第一台腾讯云样板节点 + - 分配节点编号 TX-PERSONAL-NODE-01 + - 生成 jd_ops_to_tx01_admin 专用密钥 + - 私钥存 JD keystore + - 公钥部署到 TX-01 + - 安装 revive-agent / pre-op-guard + - 读取服务器地图 + - 建立第一个心跳与回执 + +Phase 2 · 跑通一张完整工单 + - 人格体发起只读状态检查 + - 人类签名确认 + - 自动 Agent 检查地图 + - 执行固定动作 + - 返回回执 + +Phase 3 · 跑通一个中风险可回滚修改 + - 保存仓库 commit / 配置快照 / 服务状态 + - 执行小修改 + - 验证 + - 回滚演练或记录回滚命令 + - 写回执 + +Phase 4 · 接入剩余腾讯云节点 + - 逐台复制 Phase 1-3 + - 每台节点独立 key_id + - 每台节点独立地图 + - 每台节点独立回执链 +``` + +--- + +## 5 · 自动拦截与提示 + +JD-OPS-CENTER 不能只当 SSH 跳板。它必须先当安全拦截层。 + +```text +没有节点登记 + → NODE_UNKNOWN + +没有对应 key_id + → KEY_ROUTE_MISSING + +没有服务器地图 + → MAP_MISSING + +没有回滚点 + → ROLLBACK_MISSING + +没有人格体签名 + → PERSONA_SIGNATURE_MISSING + +没有人类签名 + → HUMAN_SIGNATURE_MISSING + +动作超出授权范围 + → ACTION_SCOPE_MISMATCH +``` + +拦截提示要给人格体看,让人格体自己补齐,不把错误转嫁给冰朔。 + +--- + +## 6 · 节点登记模板 + +```yaml +node_id: TX-PERSONAL-NODE-01 +owner: ICE-GL∞ +role: personal_managed_node +provider: tencent_cloud +region: unknown_until_registered +public_entry: stored_in_private_inventory +agent: + revive_agent: pending + pre_op_guard: pending + receipt_agent: pending +keys: + admin_key_id: jd_ops_to_tx01_admin + receipt_key_id: tx01_receipt_to_jd_ops +allowed_actions: + - health_check + - map_audit + - service_status + - restart_registered_service + - pull_registered_repo + - deploy_registered_project + - rollback_registered_project +guard_requirements: + map_required: true + rollback_required_for_medium_risk: true + persona_signature_required: true + human_signature_required_for_restricted_actions: true + receipt_required: true +``` + +--- + +## 7 · 不做的事 + +```text +不把所有服务器共用一把万能私钥。 +不把私钥写进仓库。 +不让被管理节点持有控制其他节点的总私钥。 +不让看门小人跨服务器执行任意命令。 +不让 JD-OPS-CENTER 接受任意 shell 工单。 +不把企业服务器默认接入个人主控中心。 +``` + +--- + +## 8 · 给下一位人格体 + +如果冰朔说“京东服务器买好了 / 把其他腾讯云服务器接进来”,你先读本文件。 + +然后按顺序做: + +```text +1. 确认 JD-OPS-CENTER 已初始化 +2. 生成第一台 TX 节点登记 +3. 建立一节点一钥匙 +4. 私钥进 JD keystore,公钥进被管理节点 +5. 安装 revive-agent 与 pre-op-guard +6. 跑通地图读取 +7. 跑通只读工单 +8. 跑通中风险可回滚工单 +9. 再复制到剩余节点 +``` + +冰朔不负责记钥匙,也不负责手工配置每台服务器。系统必须把这些事规划、登记、拦截、回执。