انتقل إلى المحتوى الرئيسي انتقل إلى الملاحة انتقل إلى التذييل
لوقت محدود: برنامج Design Partner — خطة BUSINESS مدى الحياة

البنية التحتية

كيف يعمل Rediacc: بنية الأداتين، اكتشاف المحوّلات، نموذج الأمان، وهيكل الإعدادات.

البنية التحتية

تشرح هذه الصفحة كيف يعمل Rediacc من الداخل: بنية الأداتين، اكتشاف المحوّلات، نموذج الأمان، وهيكل الإعدادات.

نظرة عامة على المكدس الكامل

يتدفق حركة المرور من الإنترنت عبر وكيل عكسي إلى عمليات Docker المعزولة، يدعم كل منها تخزين مشفر:

بنية المكدس الكامل

يحصل كل مستودع على عملية Docker خاصة به، وشبكة فرعية للعنوان المحلي (/26 = 64 عنوان IP)، وحجم BTRFS مشفر بـ LUKS. يكتشف خادم التوجيه الحاويات قيد التشغيل عبر جميع العمليات ويغذّي إعدادات التوجيه إلى Traefik.

بنية الأداتين

يستخدم Rediacc ملفين تنفيذيين يعملان معاً عبر SSH:

بنية الأداتين

  • rdc يعمل على محطة عملك (macOS أو Linux أو Windows). يقرأ الإعدادات المحلية، ويتصل بالأجهزة البعيدة عبر SSH، ويستدعي أوامر renet.
  • renet يعمل على الخادم البعيد بصلاحيات الجذر. يدير صور الأقراص المشفرة بـ LUKS، وعمليات Docker المعزولة، وتنسيق الخدمات، وإعدادات الوكيل العكسي.

كل أمر تكتبه محلياً يُترجم إلى استدعاء SSH ينفّذ renet على الجهاز البعيد. لن تحتاج أبداً إلى الاتصال بالخوادم يدوياً عبر SSH.

للاطلاع على قاعدة إبهام موجهة للمشغّل، راجع rdc vs renet. يمكنك أيضاً استخدام rdc ops لتشغيل مجموعة VM محلية للاختبار، راجع الأجهزة الافتراضية التجريبية.

الإعداد

تُخزَّن جميع حالات CLI في ملفات إعداد JSON مسطّحة تحت ~/.config/rediacc/.

محوّل المحلي (الافتراضي)

الافتراضي للاستضافة الذاتية. تعيش جميع الحالات في ملف إعداد على محطة عملك (مثلاً ~/.config/rediacc/rediacc.json).

  • اتصالات SSH مباشرة بالأجهزة
  • لا حاجة لخدمات خارجية
  • مستخدم واحد، محطة عمل واحدة
  • يُنشأ الإعداد الافتراضي تلقائياً عند أول استخدام لسطر الأوامر. تُنشأ الإعدادات المسمّاة باستخدام rdc config init --name <name>

محوّل السحابة (تجريبي)

يُفعَّل تلقائياً عند احتواء الإعداد على حقلَي apiUrl و token. يستخدم واجهة برمجة تطبيقات Rediacc لإدارة الحالة والتعاون الجماعي.

  • تُخزَّن الحالة في واجهة برمجة التطبيقات السحابية
  • فرق متعددة المستخدمين مع التحكم في الوصول بناءً على الأدوار
  • وحدة تحكم ويب للإدارة المرئية
  • يُعدّ باستخدام rdc auth login

ملاحظة: أوامر محوّل السحابة تجريبية. فعّلها بتعيين REDIACC_EXPERIMENTAL=1.

يستخدم كلا المحوّلَين نفس أوامر سطر الأوامر. يؤثر المحوّل فقط على مكان تخزين الحالة وكيفية عمل المصادقة.

مستخدم rediacc

عند تشغيل rdc config machine setup، يُنشئ renet مستخدم نظام باسم rediacc على الخادم البعيد:

  • UID: 7111
  • Shell: /sbin/nologin (لا يمكن تسجيل الدخول عبر SSH)
  • الغرض: يمتلك ملفات المستودعات ويشغّل دوال Rediaccfile

لا يمكن الوصول إلى مستخدم rediacc عبر SSH مباشرة. بدلاً من ذلك، يتصل rdc بمستخدم SSH الذي قمت بتهيئته (مثل deploy)، وينفّذ renet عمليات المستودع عبر sudo -u rediacc /bin/sh -c '...'. هذا يعني:

  1. يحتاج مستخدم SSH الخاص بك إلى صلاحيات sudo
  2. جميع بيانات المستودع مملوكة لـ rediacc، وليس لمستخدم SSH الخاص بك
  3. دوال Rediaccfile (up() و down()) تعمل بصفة rediacc

يضمن هذا الفصل أن بيانات المستودع لها ملكية متسقة بغض النظر عن مستخدم SSH الذي يديرها.

عزل Docker

يحصل كل مستودع على عملية Docker معزولة خاصة به. عند تحميل مستودع، يبدأ renet عملية dockerd مخصصة بمقبس فريد:

عزل Docker

/var/run/rediacc/docker-{networkId}.sock

على سبيل المثال، مستودع بمعرّف شبكة 2816 يستخدم:

/var/run/rediacc/docker-2816.sock

هذا يعني:

  • الحاويات من مستودعات مختلفة لا يمكنها رؤية بعضها البعض
  • كل مستودع له ذاكرة تخزين مؤقت خاصة للصور والشبكات والأحجام
  • عملية Docker المضيفة (إن وُجدت) منفصلة تماماً

تُعيّن متغير البيئة DOCKER_HOST تلقائياً للمقبس الصحيح في دوال Rediaccfile.

عندما يدخل وكيل ذكاء اصطناعي إلى مستودع عبر rdc term connect -r <repo>، يُطبَّق العزل نفسه: تعمل الجلسة بصفة المستخدم غير المميَّز rediacc (UID 7111)، في فضاء أسماء تحميل منفصل، مع DOCKER_HOST مقصور على مقبس عملية Docker الخاصة بهذا المستودع وحده. يجمع تدفق العمل القائم على التفريع أولاً بين هذا العزل في وقت التشغيل وأولية استنساخ من نوع CoW: يعمل الوكيل على نسخة متفرعة لكل مهمة، ولا يعمل أبداً على المستودعات الكبرى (الإنتاج). راجع أمان وضمانات وكلاء الذكاء الاصطناعي للاطلاع على نموذج صندوق الرمل الكامل ودلالات التجاوز وحدود مسؤولية المطور بالنسبة لبيانات اعتماد الخدمات الخارجية.

تخطيط مسار العملية

تُخزَّن بيانات Docker وإعداداتها داخل نقطة تحميل المستودع، مما يبقي كل عملية معزولة تماماً عن المضيف وعن المستودعات الأخرى.

التخطيط لكل مستودع:

{datastore}/mounts/{guid}/.rediacc/docker/data/    # جذر بيانات Docker
{datastore}/mounts/{guid}/.rediacc/docker/config/  # إعداد Docker

التخطيط المستقل (عمليات غير مرتبطة بنقطة تحميل مستودع):

{datastore}/standalone/{N}/.rediacc/docker/data/
{datastore}/standalone/{N}/.rediacc/docker/config/

مسار وقت التشغيل المشترك (غير متغيّر):

/run/rediacc/docker-{N}.sock

يُزيل هذا التخطيط الموحّد تعارضات التحميل للقراءة فقط والقراءة-الكتابة التي كانت تحدث عندما كانت مسارات العمليات مقسّمة بين نظام ملفات المضيف والحجم المشفر. تتبع عمليات المستودعات والعمليات المستقلة نفس هيكل الدليل، لذا تعمل الأدوات والتشخيصات بشكل متطابق في كلتا الحالتين.

تشفير LUKS

المستودعات هي صور أقراص مشفرة بـ LUKS مخزّنة على مخزن بيانات الخادم (الافتراضي: /mnt/rediacc). كل مستودع:

  1. لديه عبارة مرور تشفير مُولّدة عشوائياً (“بيانات الاعتماد”)
  2. يُخزّن كملف: {datastore}/repos/{guid}.img
  3. يُحمّل عبر cryptsetup عند الوصول إليه

تُخزّن بيانات الاعتماد في ملف الإعداد الخاص بك ولكن لا تُخزّن أبداً على الخادم. بدون بيانات الاعتماد، لا يمكن قراءة بيانات المستودع. عند تفعيل التشغيل التلقائي، يُخزّن ملف مفتاح LUKS ثانوي على الخادم للسماح بالتحميل التلقائي عند الإقلاع.

هيكل الإعدادات

كل إعداد هو ملف JSON مسطّح مخزّن في ~/.config/rediacc/. الإعداد الافتراضي هو rediacc.json؛ تستخدم الإعدادات المسمّاة الاسم كاسم للملف (مثلاً production.json). فيما يلي مثال مشروح:

{
  "id": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
  "version": 1,
  "ssh": {
    "privateKeyPath": "/home/you/.ssh/id_ed25519"
  },
  "machines": {
    "prod-1": {
      "ip": "203.0.113.50",
      "user": "deploy",
      "port": 22,
      "datastore": "/mnt/rediacc",
      "knownHosts": "203.0.113.50 ssh-ed25519 AAAA..."
    }
  },
  "storages": {
    "backblaze": {
      "provider": "b2",
      "vaultContent": { "...": "..." }
    }
  },
  "repositories": {
    "webapp": {
      "repositoryGuid": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
      "credential": "base64-encoded-random-passphrase",
      "networkId": 2816
    }
  },
  "nextNetworkId": 2880,
  "universalUser": "rediacc"
}

الحقول الرئيسية:

الحقلالوصف
idمعرّف فريد لملف الإعداد هذا
versionإصدار مخطط ملف الإعداد
ssh.privateKeyPathمفتاح SSH الخاص المستخدم لجميع اتصالات الأجهزة
machines.<name>.userاسم مستخدم SSH للاتصال بالجهاز
machines.<name>.knownHostsمفاتيح مضيف SSH من ssh-keyscan
repositories.<name>.repositoryGuidمعرّف UUID يحدد صورة القرص المشفرة
repositories.<name>.credentialعبارة مرور تشفير LUKS (لا تُخزّن على الخادم)
repositories.<name>.networkIdيحدد الشبكة الفرعية لعناوين IP (2816 + n*64)، يُعيَّن تلقائياً
nextNetworkIdعدّاد عام لتعيين معرّفات الشبكة
universalUserتجاوز مستخدم النظام الافتراضي (rediacc)

يحتوي هذا الملف على بيانات حساسة (مسارات مفاتيح SSH، بيانات اعتماد LUKS). يُخزّن بصلاحيات 0600 (قراءة/كتابة للمالك فقط). لا تشاركه أو تضعه في نظام التحكم بالإصدارات.