Сервисы

runtime-control-plane

Внутренний ingress Conveyor — приём ack/result от исполнителей, policy dispatch и прокси метрик движка.

runtime-control-plane (CP) — внутренний ingress между исполнителями/плагинами и движком: принимает ack/result шагов, проверяет политику диспетчеризации и проксирует /metrics движка. Слушает HTTP :3000 и отдельный TCP :3001.

На какие вопросы отвечает раздел: Куда исполнители шлют результаты? Что такое policy dispatch? Как ограничить доступ плагинов?

Цель

Безопасный ingress для исполнителей: принимать результаты выполнения шагов, проверять policy dispatch и передавать данные в движок по TCP RPC.

Задачи

  • HTTP/TCP ingress: ack/result от исполнителей и step-ack/result от плагинов;
  • policy dispatch (плагин включён у пользователя и т.п.) по уже известному каталогу;
  • TCP RPC к runtime-engine;
  • прокси /metrics движка.

Требования

  • runtime-engine (TCP RPC);
  • PostgreSQL и Redis;
  • secret-manager, file-service; общий PLUGIN_CONTROL_PLANE_KEY.

Ограничения

  • зона CP: ingress ack/result и policy dispatch по каталогу из Postgres. Публикация плагинов и manifest_request — у plugin-manager.

Настройки и переменные окружения

ПеременнаяЗачемНа что влияетПо умолчанию
RUNTIME_CONTROL_PLANE_HTTP_PORTПорт HTTP APIПриём ack/result по HTTP3000
RUNTIME_CONTROL_PLANE_TCP_PORTПорт TCPПриём результатов шагов (отдельный listener)3001
RUNTIME_ENGINE_TCP_HOSTХост движкаКуда CP шлёт RPCruntime-engine
RUNTIME_ENGINE_RPC_TCP_PORTПорт RPC движкаСвязь CP → engine3000
PLUGIN_CONTROL_PLANE_KEYКлюч ingressАвторизация внутренних маршрутов
PLUGIN_CONTROL_PLANE_ALLOW_CIDRSAllowlist CIDRКто может подключаться к ingress0.0.0.0/0
PLUGIN_CONTROL_PLANE_TRUST_PROXYДоверие проксиРазбор X-Forwarded-Forfalse
SECRETS_TCP_CONNECTАдрес secret-managerРезолв секретовsecret-manager:3000
FILE_SERVICE_BASE_URLАдрес file-serviceРабота с файламиhttp://file-service:3000
API_BASE_URLАдрес apiВнутренние вызовыhttp://api:3000
DATABASE_URL / REDIS_*БД и очередиПолитика и координация

Дальше