nivq
Bu kurulum bölümü, nivq'yu kendi altyapısında çalıştıran Enterprise / on-prem müşteriler içindir.

Üretim sertleştirme

nivq'yu ilk kurulumdan sertleştirilmiş bir üretim dağıtımına taşıyın — imaj sabitleme, kalıcılık ve yedekleme, TLS, gözlemlenebilirlik ve sağlık probları.

nivq ayağa kalktıktan sonra — ister Docker Compose, ister Kubernetes, ister bare metal ile — bu sayfa üretim için neleri sıkılaştıracağınızı anlatır. Üç kurulum yöntemi için de geçerlidir.

İmajı (ya da JAR'ı) sabitleyin

Üretimde asla :latest çalıştırmayın. Nivorbit'in gönderdiği tam sürümü sabitleyin; böylece yeniden dağıtım sessizce farklı bir derleme çekemez:

YAML
# Docker Compose
nivq:
  image: ghcr.io/nivorbit/images/nivq:1.4.0

Kubernetes'te değerler dosyanızda image.tag ayarlayın; bare metal'de sürümlü JAR dosya adını koruyun.

Kalıcılık ve yedekleme

  • Postgres doğruluk kaynağıdır — yedekleyin. Çalışma alanlarınızı, denetim kaydını, örüntü belleğini ve aktif lisansı tutar. Point-in-time recovery'li yönetilen bir Postgres ya da güvenilir bir volume + zamanlanmış pg_dump kullanın.
  • Lisans için dosya volume'u gerekmez. Veritabanında yaşar; bu yüzden disk dosyası yalnızca isteğe bağlı bir ilk-açılış tohumudur — geri yüklenen bir veritabanı zaten lisanslı gelir.
  • Redis/Valkey bir önbellektir ve geçici sayılabilir.
  • Şifreleme anahtarını koruyun. NIVQ_ENCRYPTION_KEY_V1 saklanan her kimlik bilgisini çözer; bir gizli yöneticisinde tutun ve veritabanından ayrı yedekleyin.

TLS ve ters proxy

nivq, 8080 portunda düz HTTP sunar. TLS'i önündeki bir ters proxy ya da yük dengeleyicide (nginx, Caddy, bir bulut LB'si ya da bir Kubernetes ingress'i) sonlandırın ve BACKEND_URL / FRONTEND_URL'i genel HTTPS URL'lerine ayarlayın — bunlar token üreticisi olarak ve OAuth yönlendirmeleri için kullanılır, dolayısıyla tarayıcının gerçekten eriştiği adresle eşleşmelidir.

Gözlemlenebilirlik

nivq, OpenTelemetry trace ve metriklerini dışa aktarır ve bir ELK yığını için yapılandırılmış ECS JSON logları üretebilir:

Shell
NIVQ_LOG_FORMAT_CONSOLE=ecs
NIVQ_OTLP_TRACING_EXPORT_URL=http://otel-collector:4318/v1/traces
NIVQ_OTLP_METRICS_EXPORT_URL=http://otel-collector:4318/v1/metrics

OTLP URL'lerini kendi collector'ınıza yönlendirin ve JSON loglarını Elasticsearch/Kibana'ya gönderin (nivq bunları etiketler; nivq-logs-* içine indeksleyebilirsiniz). Üretimde metrik uç noktası ayrıca GET /actuator/prometheus adresinde toplama (scrape) için açıktır.

Sağlık ve hazır olma

Orkestratörünüzün problarını şuraya bağlayın:

GET /actuator/health      # liveness / readiness
GET /actuator/info        # derleme meta verisi

İkisi de bir kurulum activation-pending iken bile erişilebilir kalır; böylece platformunuz henüz lisanslanmamış bir node'u yönetebilir ve ona yönlendirebilir.

Air-gapped

Tamamen kopuk ortamlar için: imajı (ya da JAR'ı) Nivorbit'in verdiği çevrimdışı artefakttan yükleyin, yerel bir Ollama modeli çalıştırıp platform LLM BASE_URL'ini ona ayarlayın, lisansı bir dosyadan tohumlayın ve — politika hiçbir tedarikçinin başlattığı DB bağlantısına izin vermiyorsa — MCP-native modu etkinleştirin. nivq böylece kendi adına hiçbir dış çağrı yapmaz.

JAR bütünlüğü (kurcalamaya direnç)

Lisansın üstüne ek savunma katmanı. Nivorbit'in release pipeline'ı JAR'ı kod-imzalama sertifikasıyla imzalar; bir node'un yeniden paketlenmiş ya da yabancı imzalı bir JAR'ı çalıştırmayı reddetmesini doğrulamayı açarak sağlayabilirsiniz. İkisini birden verin — fail-closed'dur: fingerprint olmadan açarsanız boot'u reddeder:

Shell
NIVQ_LICENSING_VERIFY_JAR_SIGNATURE=true
NIVQ_LICENSING_EXPECTED_SIGNER_SHA256=<imzalayan fingerprint>   # release ile birlikte verilir

Fingerprint, Nivorbit imzalama sertifikasının SHA-256'sıdır ve her release ile birlikte verilir. Doğrulama açıkken, bir node o sertifikayla imzalanmamış hiçbir JAR'ı boot etmeyi reddeder. İmzalı lisansın üstüne opsiyonel bir ek savunma katmanıdır — ihtiyacınız yoksa kapalı bırakın.