lightOps/docs/architecture.md

# LightOps 架构

LightOps 是一个极轻量探针式运维面板。一个 Server 负责 Web UI、SQLite 数据、认证、审计日志、任务调度和 Agent 连接注册；每台被管理主机只运行一个 Rust Agent，不提供 Web UI，也不保存本地复杂状态。

## 控制面

- Server 向浏览器提供 REST API，并向 Agent 提供一个 WebSocket 入口。
- 浏览器请求通过 Bearer JWT 鉴权。浏览器 WebSocket 端点也支持通过 `?token=` 携带同一个 Token。
- SQLite 是默认数据库，不依赖 Redis、MySQL、Elasticsearch 或外部队列。
- Agent 连接保存在内存中，结构为 `agent_id -> sender`。
- 任务响应通过 `task_id` 关联，并受超时机制约束。
- 每个 Agent 连接都有独立 `connection_id`。同一个 Agent 重连时，新连接会替换旧连接；旧连接退出时不会把新连接误标为离线。
- 危险操作写入 `audit_logs`。

## 数据面

- Agent 主动连接 `wss://server/api/agent/ws`。
- 首次连接使用一次性注册 Token。
- Server 返回长期 Secret，Agent 将其保存到 `/etc/lightops/agent.toml`。
- 后续连接使用 `agent_id + secret` 鉴权。
- 默认每 30 秒发送心跳和指标。
- Server 默认每 30 秒发送协议级 `server.ping`，Agent 收到后立即返回 `agent.pong`。
- Server 和 Agent 都会检测约 100 秒的连接静默时间，超时后主动断开并触发 Agent 退避重连。
- Agent 连接失败使用指数退避并增加毫秒级抖动，避免大量节点同时重连冲击 Server。
- Agent 断开后，Server 会立即失败该 Agent 未完成的 pending 任务，避免用户等待任务超时。
- Server 不主动连接被管理节点，被管理节点无需开放入站端口。

## 协议

所有 Agent 消息都是带 `type` 字段的 JSON：

- `agent.hello`
- `agent.heartbeat`
- `agent.pong`
- `server.ping`
- `agent.accepted`
- `task.request`
- `task.response`
- `stream.open`
- `stream.data`
- `stream.close`
- `error`

## 安全模型

- 生产环境 Server 应只通过 HTTPS/WSS 暴露。
- 注册 Token 一次性使用并带过期时间。
- Agent Secret 和注册 Token 在 Server 端只保存哈希。
- 密码使用 Argon2 保存。
- Agent 只执行白名单动作。
- 不提供通用 shell 执行 API。
- 终端打开、文件删除、服务停止、Nginx 重载和 Docker 破坏性操作都会审计。
- 文本文件读写默认限制大小。
- Docker CLI 访问意味着 Docker Socket/root 等价风险，请只在可信主机上部署 Agent。

## MVP 边界

- Docker Provider 抽象为 `DockerProvider`，MVP 使用 Docker CLI 实现。
- Nginx 目录布局优先支持 Debian/Ubuntu 的 `/etc/nginx/sites-available` 和 `/etc/nginx/sites-enabled`。
- 文件管理是懒加载、非递归扫描。
- 日志按需读取或订阅，不做持久化日志索引。