跳转至

AgentMeshOS 短期实施计划

版本:v0.1.0

状态:执行前计划


1. 放置位置说明

本文件是短期实施计划,不属于架构原始设计文档,因此不写入 docs/architecture/

按照当前工程规范,项目文档统一放在 docs/ 下;当前规则尚未定义 docs/plans/ 目录,因此本计划暂放在 docs/短期实施计划.md

如后续出现多份计划、复盘、执行记录,再先修改 docs/architecture/06_工程规范.md,明确 docs/plans/ 目录规则后迁移。


2. 短期目标

先完成一套最小可用、自托管、可验证的主节点基础设施。

短期目标包括:

  • 清理官方 Tailscale 登录残留。
  • 部署 Headscale 自托管网络控制面。
  • 让主节点通过自托管 Headscale 接入私有网络。
  • 配置 Nomad 单节点 Server。
  • 完成主节点基础验证。
  • 暂缓 Worker 节点接入,等主节点稳定后再处理。

3. 执行顺序

第一步:清理官方 Tailscale 残留

  • 停止当前未完成的官方 Tailscale 登录流程。
  • 确认本机未加入 Tailscale 官方控制面。
  • 保留 Tailscale 客户端安装,用于后续接入 Headscale。

验收标准:

  • tailscale status 不显示已加入官方 Tailnet。
  • 不继续使用 login.tailscale.com 授权链接。

第二步:准备 Headscale 控制面

  • 确认 Headscale 使用的自有域名。
  • 确认 TLS 证书方案。
  • 确认 Headscale 数据目录、配置文件和备份位置。
  • 优先评估 Docker 部署;如需系统服务部署,必须说明原因并确认。

验收标准:

  • Headscale 服务可访问。
  • 域名 HTTPS 可用。
  • 配置和数据目录可备份、可恢复。

第三步:主节点接入自托管网络

  • 使用 tailscale up --login-server=https://<headscale-domain> 接入 Headscale。
  • 禁止使用无 --login-servertailscale up

验收标准:

  • 主节点获得自托管 Tailnet IP。
  • Headscale 控制面可看到主节点。

第四步:配置 Nomad 主节点

  • 使用配置文件和 systemd 托管 Nomad Server。
  • 启用 ACL 规划,记录 TLS / mTLS 缺口。
  • 不使用长期前台裸命令运行 Nomad。

验收标准:

  • nomad server members 正常。
  • Nomad API 仅按安全边界暴露。

第五步:主节点部署验收

  • Docker 服务正常。
  • Headscale 控制面正常。
  • Tailscale 客户端接入自托管 Headscale。
  • Nomad Server 正常。
  • 所有配置、数据目录、端口、安全缺口已记录。

4. 暂不处理事项

  • 暂不接入 Worker 节点。
  • 暂不部署业务服务。
  • 暂不引入第三方托管控制面。
  • 暂不创建实现目录,除非部署步骤确实需要并符合架构规则。

5. 下一步输入

继续执行前需要确认:

  • Headscale 使用的域名。
  • 是否允许先用 Docker 部署 Headscale。
  • TLS 证书采用自动签发还是手动证书。