Развёртывание и эксплуатация
Документ для администраторов инфраструктуры: как развернуть Conveyor от локальной оценки до эксплуатации в вашем периметре и где искать переменные окружения по контурам.
На какие вопросы отвечает раздел: Какие контуры развёртывания бывают? Как поднять demo? Какие группы переменных нужны для on-prem?
Топологии развёртывания
Conveyor допускает три типовых контура. Они различаются тем, где работают сервисы, кто отвечает за инфраструктуру и как подключаются плагины.
Docker demo
Одноконтейнерная оценка на 8080: образ kosolapus/conveyor-demo на Docker Hub
собирает PostgreSQL, Redis, Vault на томах demo_pgdata и demo_vault, сервисы
ядра, редактор и Nginx. Внешние плагины поднимают отдельными контейнерами. С хоста они
подключаются к 4016 (приём манифестов) и 4021 (ответы о шагах процесса).
Значения по умолчанию рассчитаны на локальную оценку. Перед любой публикацией
контейнера смените секреты из таблицы ниже.
Пошаговый запуск с командами docker run, томами, портами и проверкой готовности
описан в рецепте Cookbook → Развернуть Conveyor.
Переменные окружения demo
Параметры контейнера задают через -e при docker run или блок environment в
Compose. Это переменные самого demo-контейнера. Порты mapping на хост, образ для
Compose и опции готовых плагинов описаны в Cookbook и
Плагины → Demo Compose.
| Переменная | Назначение | По умолчанию |
|---|---|---|
PUBLIC_SITE_URL | URL в браузере (origin для UI и WebAuthn), без хвостового / | http://localhost:8080 |
POSTGRES_PASSWORD | Пароль PostgreSQL внутри контейнера | postgres |
JWT_SECRET | Подпись JWT; перед публикацией смените значение | demo-jwt-insecure-change-me |
PLUGIN_CONTROL_PLANE_KEY | Ключ внутренних маршрутов движка | demo-internal-key |
PLUGIN_MANAGER_INGRESS_TOKEN | Токен приёма манифестов от плагинов | demo-plugin-ingress |
VAULT_TRANSIT_KEY_NAME | Имя transit-ключа Vault (создаётся один раз на томе) | autokey |
DEMO_SEED_PASSWORD | Пароль встроенных демо-учёток | Test123456! |
DEMO_PLUGIN_HEALTH_INTERVAL_MS | Период TCP-опроса pull-endpoint плагинов; 0 — выключено | 1200000 (20 мин) |
Назначение проброшенных портов и mapping на хост разобраны в Cookbook → Развернуть. Сводная таблица по режимам приведена в Архитектуре. Подключение внешних интеграций описано в разделе Плагины.
On-prem
Раздельные сервисы ядра в вашем периметре. Это целевой контур для production. Каждый сервис работает отдельным процессом или контейнером. Редактор размещают рядом с API или за обратным прокси. PostgreSQL, Redis и Vault, а при необходимости Qdrant, Neo4j и Jaeger, разворачивают в вашем контуре. Периметр, CORS и доступ плагинов настраивают по внутренним политикам. Полный перечень переменных см. в справочнике конфигурации.
Ресурсы, отказоустойчивость и обновления
Переменные окружения on-prem
Инфраструктура и подключения
| Переменная | Назначение | Пример |
|---|---|---|
DATABASE_URL | Строка подключения к PostgreSQL | postgresql://postgres:postgres@postgres:5432/postgres |
REDIS_HOST / REDIS_PORT | Redis для очередей BullMQ | redis / 6379 |
VAULT_ADDR / VAULT_TOKEN | Адрес и токен Vault | http://vault:8200 |
VAULT_TRANSIT_MOUNT / VAULT_TRANSIT_KEY_NAME | Transit для шифрования секретов | transit / autokey |
Сервис секретов (
secret-manager) стартует только при настроенном Vault (VAULT_ADDRиVAULT_TOKEN).
Адреса микросервисов (внутри сети — DNS-имя:3000)
| Переменная | Назначение |
|---|---|
API_HTTP_LISTEN / API_PATH | Адрес и префикс REST API (0.0.0.0:3000 / api) |
AUTH_SERVICE_BASE_URL | HTTP-сервис аутентификации для прокси API |
SECRETS_TCP_CONNECT | TCP secret-manager (приоритетнее SECRETS_HOST/SECRETS_PORT) |
SCHEDULER_TCP_CONNECT, PRESET_TCP_CONNECT, FLOW_AGENT_TCP_CONNECT, SEARCH_SERVICE_TCP_CONNECT | TCP-клиенты соответствующих сервисов |
FILE_SERVICE_BASE_URL | HTTP file-service |
CONTROL_PLANE_TCP_CONNECT | TCP от движка к control-plane (runtime-control-plane:3001) |
RUNTIME_ENGINE_TCP_HOST | RPC hostname движка для control-plane |
RUNTIME_INTERNAL_BASE_URL | Базовый URL control-plane для SDK исполнителя |
Безопасность и периметр
| Переменная | Назначение |
|---|---|
JWT_SECRET, COOKIE_SIGN_SECRET | Подпись токенов и cookie |
ORIGIN_REGEXP | Разрешённые Origin для CORS |
SWAGGER_USER / SWAGGER_PASSWORD | Basic-auth для Swagger UI на /api |
PLUGIN_CONTROL_PLANE_KEY | Ключ внутренних маршрутов control-plane |
PLUGIN_MANAGER_INGRESS_TOKEN | Токен приёма манифестов плагинов |
PLUGIN_MANAGER_ALLOW_CIDRS, PLUGIN_CONTROL_PLANE_ALLOW_CIDRS | Разрешённые подсети для плагинов и исполнителей |
API_SENSITIVE_ROUTE_CIDRS, API_TRUST_PROXY_HOPS | Защита чувствительных маршрутов за прокси |
Полный построчный перечень переменных по сервисам см. в разделе «Конфигурация и справочник».
Порты приложения по режимам
Таблицы портов для demo и dev-стека собраны в разделе «Архитектура». Порты внешних плагинов описаны в «Плагины».
SaaS
Тот же состав сервисов, что и в on-prem, на инфраструктуре оператора платформы. Данные Запусков и конфигурация процессов хранятся в сегменте, изолированном от соседних развёртываний. Команда подключается к редактору через браузер. Инфраструктуру и обновления ведёт оператор. Параметры подключения редактора перечислены в справочнике конфигурации.
Дальше
- Архитектура: состав сервисов и связи между ними
- Безопасность: периметр и изоляция плагинов
- Конфигурация: полный справочник переменных окружения
- Контакты: вопросы по развёртыванию