AgentMeshOS 短期实施计划¶
版本:v0.1.0
状态:执行前计划
1. 放置位置说明¶
本文件是短期实施计划,不属于架构原始设计文档,因此不写入 docs/architecture/。
按照当前工程规范,项目文档统一放在 docs/ 下;当前规则尚未定义 docs/plans/ 目录,因此本计划暂放在 docs/短期实施计划.md。
如后续出现多份计划、复盘、执行记录,再先修改 docs/architecture/06_工程规范.md,明确 docs/plans/ 目录规则后迁移。
2. 短期目标¶
先完成一套最小可用、自托管、可验证的主节点基础设施。
短期目标包括:
- 清理官方 Tailscale 登录残留。
- 部署 Headscale 自托管网络控制面。
- 让主节点通过自托管 Headscale 接入私有网络。
- 配置 Nomad 单节点 Server。
- 完成主节点基础验证。
- 暂缓 Worker 节点接入,等主节点稳定后再处理。
3. 执行顺序¶
第一步:清理官方 Tailscale 残留¶
- 停止当前未完成的官方 Tailscale 登录流程。
- 确认本机未加入 Tailscale 官方控制面。
- 保留 Tailscale 客户端安装,用于后续接入 Headscale。
验收标准:
tailscale status不显示已加入官方 Tailnet。- 不继续使用
login.tailscale.com授权链接。
第二步:准备 Headscale 控制面¶
- 确认 Headscale 使用的自有域名。
- 确认 TLS 证书方案。
- 确认 Headscale 数据目录、配置文件和备份位置。
- 优先评估 Docker 部署;如需系统服务部署,必须说明原因并确认。
验收标准:
- Headscale 服务可访问。
- 域名 HTTPS 可用。
- 配置和数据目录可备份、可恢复。
第三步:主节点接入自托管网络¶
- 使用
tailscale up --login-server=https://<headscale-domain>接入 Headscale。 - 禁止使用无
--login-server的tailscale up。
验收标准:
- 主节点获得自托管 Tailnet IP。
- Headscale 控制面可看到主节点。
第四步:配置 Nomad 主节点¶
- 使用配置文件和 systemd 托管 Nomad Server。
- 启用 ACL 规划,记录 TLS / mTLS 缺口。
- 不使用长期前台裸命令运行 Nomad。
验收标准:
nomad server members正常。- Nomad API 仅按安全边界暴露。
第五步:主节点部署验收¶
- Docker 服务正常。
- Headscale 控制面正常。
- Tailscale 客户端接入自托管 Headscale。
- Nomad Server 正常。
- 所有配置、数据目录、端口、安全缺口已记录。
4. 暂不处理事项¶
- 暂不接入 Worker 节点。
- 暂不部署业务服务。
- 暂不引入第三方托管控制面。
- 暂不创建实现目录,除非部署步骤确实需要并符合架构规则。
5. 下一步输入¶
继续执行前需要确认:
- Headscale 使用的域名。
- 是否允许先用 Docker 部署 Headscale。
- TLS 证书采用自动签发还是手动证书。