AiHummer systemd и health-проверки
AiHummer работает host-native: разворачивается как релизный tarball под управлением systemd, а не в контейнерах. Эта страница описывает, где он лежит на диске, как проверять его состояние и что закрыть перед запуском в продакшен.
Корень установки и юниты systemd
Всё лежит в едином корне установки — /home/.aihummer, разложенном по
bin/ etc/ share/ sidecars/ plugins/ systemd/ state/ data/ logs/. Файл
конфигурации gateway — /home/.aihummer/etc/gateway.env.
Файлы юнитов systemd хранятся в корне установки и симлинкуются в
/etc/systemd/system/, поэтому gateway и каждый сайдкар — обычные сервисы,
которые можно запускать, останавливать и осматривать через systemctl и
journalctl. Каждый сайдкар работает под своим юнитом — см.
Сайдкары.
Пробы здоровья и готовности
Gateway предоставляет две разные пробы:
| Проба | Эндпоинт | Что означает |
|---|---|---|
| Liveness | GET /healthz | Процесс жив; возвращает версию |
| Readiness | GET /readyz | Проверяет PostgreSQL; возвращает 503, если БД недоступна |
Используйте /healthz для «процесс поднят», а /readyz — для «может ли он
реально обслужить ход». За обратным прокси или балансировщиком направляйте
проверку готовности на /readyz, чтобы gateway без базы выводился из ротации.
curl -fsS http://127.0.0.1:8765/healthz # 200 + версия
curl -fsS http://127.0.0.1:8765/readyz # 200 готов, 503 если Postgres недоступен[!NOTE] PostgreSQL — единственная жёсткая зависимость. Без доступной базы gateway работает в деградированном режиме «только здоровье», а
/readyzотдаёт 503.
Smoke-тест
После установки или обновления запустите встроенный smoke-тест, чтобы убедиться, что развёртывание отвечает корректно от начала до конца:
deploy/host/smoke.shУправление сервисами через CLI
CLI aihummer — основной инструмент для повседневной эксплуатации: он управляет
gateway и сайдкарами, избавляя от ручного systemctl:
aihummer up # установить / поднять сервисы
aihummer restart # перезапустить gateway
aihummer stop # остановить сервисы
aihummer status # показать статус сервисов
aihummer logs # хвост логов (опционально: aihummer logs <svc>)
aihummer doctor # запустить диагностикуПолный набор команд, включая backup, restore, update и uninstall, см. в
справочнике CLI.
Предстартовый чеклист для продакшена
Перед тем как открыть AiHummer для реального трафика, пройдите этот список:
- Задайте мастер-ключ. Укажите
AIHUMMER_MASTER_KEY(base64, 32 байта), чтобы vault доступов и BYOK были зашифрованы при хранении. - Настройте корпоративную аутентификацию. Подключите OIDC, LDAP и/или SAML,
чтобы
/v1/admin/*был защищён. Без эмитента аутентификации админ-поверхность доверяет dev-заголовкам. - Задайте inbound-секрет. Укажите
AIHUMMER_INBOUND_SECRET, чтобы коннекторы аутентифицировались на/v1/inbound/*. - Закройте рискованные инструменты. Ограничьте или отключите
code_exec, ужесточите egress и привяжитеdb_queryк read-only DSN. - Терминируйте TLS на обратном прокси. Запускайте gateway за прокси, обрабатывающим HTTPS; сам gateway отдаёт обычный HTTP.
[!WARNING] Без настроенного эмитента OIDC/LDAP/SAML админ-API откатывается к доверию dev-заголовкам. Никогда не открывайте такой экземпляр в недоверенной сети — сначала настройте корпоративную аутентификацию.
Куда дальше
- Транспортная модель для речи и инструментальных сервисов: Сайдкары.
- Бэкапы, мастер-ключ и аварийное восстановление: Бэкапы и аварийное восстановление.
- Метрики, трейсы и за чем следить: Наблюдаемость.