⚡ Zustandsdurchsetzung

Der Kern von Vigo. Definieren Sie den Soll-Zustand in YAML, Agents setzen ihn idempotent durch.

69 Ressourcentypen

Dateien, Pakete, Dienste, Benutzer, Cron, Firewall, Docker, IIS, Registry, ACLs, Zertifikate, Mounts, Sysctl, Netzwerkgeräte und mehr — 68 integriert, plus ein benutzerdefinierter Executor für Ihre eigene Logik. Jeder Ressourcentyp prüft den Zustand vor der Aktion — keine unnötigen Änderungen.

7 Betriebssysteme

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos und Windows. Schreiben Sie eine Konfiguration, der Agent leitet an das korrekte Backend weiter, einschließlich 16 SSH-basierter Executors für Cisco-, Arista- und Juniper-Netzwerkgeräte.

Bedingte Logik & Templating

when:-Ausdrücke mit boolescher Logik und integrierten Funktionen (os_family, has_command, arch, version_ge, is_container, has_service) steuern jede Ressource — der Server wertet aus, was möglich ist, und übergibt den Rest an den Agent. Go-Templates in content: und externen source:-Dateien rendern .Traits und .Vars für dynamische Konfiguration. Keine DSL, keine Plugins.

DAG-geordnete Ausführung

depends_on erstellt einen gerichteten azyklischen Graphen. Ressourcen werden in topologischer Reihenfolge ausgeführt. notify und subscribes lösen eine erneute Anwendung aus, wenn sich eine Abhängigkeit ändert. Zirkuläre Abhängigkeiten werden beim Laden der Konfiguration abgelehnt.

Configcrate-Rücknahme

Deklarieren Sie state: absent für ein configcrate, und Vigo kehrt beim nächsten Prüfintervall alles Angewandte um: Dateien gelöscht, Pakete deinstalliert, Dienste gestoppt und deaktiviert, Befehle durch ihre deklarierten Rollbacks rückgängig gemacht. Es ist schlicht Konfiguration — deklarativ, versioniert und nach dem Spezifischsten-zuerst-Prinzip aufgelöst, sodass Sie flottenweite Rücknahmen durchführen und gleichzeitig einzelne Hosts auf present halten können. Serverseitig; kein Agent-Redeploy. Für Ressourcen, die nicht automatisch rückgängig gemacht werden können, generiert Vigo einen .retract-Entwurf zur Prüfung und Veröffentlichung.

Offline-Konvergenz

Agents cachen signierte Policy-Bundles in LMDB. Wenn der Server nicht erreichbar ist, wird die Konvergenz anhand der zuletzt bekannten Policy fortgesetzt. Ergebnisse werden lokal in eine Warteschlange gestellt und bei Wiederverbindung geleert.

Beobachtungsmodus

Server-gesteuerte Testausführung. Pro Knoten oder flottenweite. Agents melden, was sie ändern würden, ohne irgendetwas anzuwenden. Ein sicherer Migrationspfad von Ihrem bestehenden Konfigurationsmanagement.

Pro-envoy gerendertes YAML mit einem cis-ubuntu-access-configcrate mit der 5.1.1-cron-enabled-Service-Ressource und der 5.1.2-crontab-permissions-Exec-Ressource — genau das, was der Agent nach Pfadvererbung und Zusammenführung erhalten hat

Pro-envoy gerenderter Config — kein Rätselraten, was der Agent durchsetzen wird

Vigo-Server-Konfigurationsseite mit 11 aktivierten und 29 verfügbaren Serverabschnitten — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — jeweils mit Aktivierungs-/Deaktivierungs-Umschaltern

Server-Konfiguration — 29 umschaltbare Abschnitte, Live-Reload

🔒 Compliance & Sicherheit

22 regulatorische Compliance-Frameworks auf durchsetzbare Kontrollen abgebildet. Ehrliche Aussagen — Vigo berichtet, was durchgesetzt wird, was bezeugt wird und was externer Validierung bedarf.

22 Compliance-Frameworks

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Pro-envoy-Compliance-Verfolgung

Framework-Abdeckungsanteil pro Knoten. Schlüsseln Sie auf, welche Kontrollen erfüllt sind, welche fehlen und welche configcrates die Lücke schließen würden. Compliance-Ausnahmen mit Genehmiger, Grund und Ablaufdatum.

CIS-Benchmark-Durchsetzung

Vorgefertigte configcrates für CIS-Ubuntu-, RHEL- und Windows-Server-Benchmarks. 260+ Level-1- und Level-2-Kontrollen durch idempotente Ressourcen durchgesetzt, nicht nur gescannt.

Risikoquantifizierung

Pro-Knoten-Risikobewertung (0–100) aus sieben gewichteten Faktoren: CVEs, Härtung, Rootkits, Integrität, offene Ports, Konvergenz und Konnektivität. Flottenweites Risiko-Dashboard mit 30-Tage-Trend-Sparklines.

CVE-Auswirkungsanalyse

Agents sammeln CVE-Daten von Trivy, Debsecan und Windows Update — über Scanner hinweg dedupliziert. Durchsuchen Sie die Flotte über CLI oder Web-UI: welche Knoten ein bestimmter CVE betrifft, Schweregradverteilung und Behebungspfade. Optionale NVD-Anreicherung mit CVSS-Bewertung.

KI-entworfene Behebung

Klicken Sie bei jedem CVE oder Härtungsbefund auf „Ask Claude". Der Assistent liest Ihren Flottenstatus und entwirft eine Behebungsstrategie — das genaue zu veröffentlichende .vgo-configcrate, Upgrade-Reihenfolge, Versionseinschränkungen und Abhängigkeitshinweise. Kein leeres Blatt mehr für Ihr Ops-Team.

Connwaer-Verifizierungsagent

Eigenständiger Agent für aktive Compliance-Verifizierung. Validiert Kontrollen, die allein durch Durchsetzung nicht beweisbar sind: WORM-Speicher, RNG-Qualität, Verschlüsselung im Ruhezustand, Netzwerksegmentierung, HSM-Lebenszyklus. 18 Verifizierungsfähigkeiten.

Vigo CVE-Auswirkungsdetail-Drawer, der 7 betroffene Pakete nach CVE gruppiert, mit Trivy/Debsecan/Lynis/rkhunter/ClamAV/AIDE-Scanner-Spalten und Ask-AI-Behebungs-Schaltflächen

🖥 Fernzugriff (Scrier)

Browser-basiertes SSH und RDP über den bestehenden mTLS-Tunnel des Agents. Kein VPN, kein Bastion, keine Port-Weiterleitung.

SSH-Terminal — Browser oder CLI

Vollständiges Terminal im Browser über xterm.js — rohe PTY-Bytes über WebSocket, kein Guacamole für SSH. Oder führen Sie vigocli scrier ssh <envoy> von Ihrer Workstation über denselben Tunnel aus: natives TTY, Fenstergrößenanpassung, Exit-Codes. In beiden Fällen kein eingehender Port am envoy und kein SSH-Bastion zu betreiben.

RDP-Grafikdesktop

Vollständiger Windows- oder Linux-Desktop über Guacamole. Fenster-angepasste oder 1:1-Skalierung mit Scrollbalken. Funktioniert mit xrdp auf Linux, nativem RDP auf Windows.

Ephemere Anmeldedaten

SSH-Schlüssel werden pro Sitzung generiert und nie auf dem Server gespeichert. Web-zu-OS-Benutzernamenzuordnung über CLI. Keine dauerhaften Anmeldedaten in der Vigo-Datenbank.

Audit-Trail

Jede Sitzung wird im manipulationssicheren Audit-Log aufgezeichnet: wer sich verbunden hat, wann, welches Protokoll, welcher envoy. Sitzungen werden nachverfolgt und können vom Server beendet werden.

Shadow/Assist-Modus

Die Live-Desktop-Sitzung eines Benutzers in Echtzeit anzeigen und steuern. Der Helpdesk kann den Bildschirm des Benutzers beobachten oder die Kontrolle übernehmen, um zu helfen. Benutzereinwilligungs-Prompts mit konfigurierbaren Richtlinien (immer, einmalig, nie). Linux über x11vnc, Windows über TightVNC.

Keine zusätzliche Infrastruktur

Scrier tunnelt über die bestehende gRPC-Verbindung des Agents. Kein SSH-Bastion, kein VPN-Konzentrator, keine Jump-Box. Eine Angriffsfläche weniger zu verwalten und zu prüfen.

🔧 Orchestrierung

Ad-hoc-Befehle, wiederverwendbare Aufgaben, mehrstufige Workflows und rollende Ausführung über Ihre Flotte.

Ad-hoc-Aufgaben

Verteilen Sie Befehle an einen beliebigen envoy oder eine Gruppe von envoys über CLI oder Web-UI. Ergebnisse werden in Echtzeit zurückgestreamt. Vorab-Validierung blockiert gefährliche Befehle, sofern nicht --force angegeben ist.

Live-Abfragen

Flottenstatus in Echtzeit abfragen. Fragen Sie nach Festplattennutzung, laufenden Prozessen, Paketversionen oder einem beliebigen Trait über alle envoys. Ergebnisse werden aggregiert und in Sekunden zurückgegeben.

Benannte Workflows

Mehrstufige Orchestrierung mit bedingter Verzweigung und Abbruchunterstützung. In YAML definieren, über CLI oder API auslösen. Schritte können auf Ergebnisse warten, bevor sie fortfahren.

Rollende Ausführung

Teilen Sie Ziele in Batches mit konfigurierbarer Batch-Größe und Zustandsprüfungen zwischen den Runden auf. Wenn ein Batch fehlschlägt, stoppt der Rollout, bevor er den Rest der Flotte betrifft.

11 native Integrationen + Webhooks für alles andere

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic und Loki — plus HMAC-signierte ausgehende Webhooks für alles andere. Ereignisgesteuerte Benachrichtigungen für Sicherheit, Compliance, Konvergenz und Secret-Rotation.

KI-Assistent

Stellen Sie Fragen zu Ihrer Flotte in natürlicher Sprache. Unterstützt durch Claude, OpenAI oder Ollama. Der Assistent hat Werkzeugzugriff zum Abfragen von envoys, Lesen von Configs, Prüfen von Compliance und Erklären von Konvergenzergebnissen.

Vigo-Integrationsseite mit nativen Integrationen, gruppiert nach Kategorie — Alerting/Chat, ITSM/PSA, SIEM/Observability — mit Pro-Integration-Aktivierungs-/Konfigurationssteuerungen

💻 Infrastruktur

Bare-Metal-Lebenszyklus, Systeminventar und flottenweite Transparenz.

Funktioniert hinter jeder Firewall

Agents verbinden sich ausgehend zum Server — der Server verbindet sich nie eingehend. Laptops hinter Heimroutern, VMs hinter Sicherheitsgruppen, mobile Geräte über Mobilfunk — alle funktionieren ohne VPNs, Port-Weiterleitung oder Firewall-Regeln. Nur zwei ausgehende Ports erforderlich.

50 Trait-Sammler

Betriebssystem, Hardware, Netzwerk, Festplatte, CPU, GPU, Firmware, Sicherheitsscan-Ergebnisse, Paketanzahl, TPM, NIC-Treiber und mehr. Benutzerdefinierte Trait-Sammler für standortspezifisches Inventar. Alle Traits verfügbar in Templates und when:-Ausdrücken.

Konfigurations-Trace

Ein Befehl zeigt die vollständige Auflösungskette für jeden Knoten: Pfadvererbung, configcrate-Auflösung, Variablen-Overrides, Abhängigkeits-DAG, Compliance-Tags, Ausnahmen und bedingte Ausdrücke — alles bis zur genauen Quelldatei nachvollziehbar.

Prometheus-Metriken

80+ Metriken unter /metrics verfügbar: Konvergenzaufschlüsselung, Sicherheitsstatus (CVEs nach Schweregrad, Härtung, Rootkit/Malware/Integrität), Risikoverteilung und Flottengesamtwerte. Fünf vorgefertigte Grafana-Dashboards.

Hub-Spoke-Federation (Spanner)

Wenn ein Server nicht ausreicht, verteilen Sie Registrierung, Abfragen und Aufgaben auf Spoke-Server. Jeder Spoke verwaltet seine eigene Flotte. Der Hub aggregiert. Keine gemeinsame Datenbank.

Manipulationssicherer Audit-Trail

Jede administrative Aktion — Registrierung, Widerruf, Aufgabenverteilung, Secret-Zugriff, Konfigurations-Publish, Scrier-Sitzung — wird in einem hash-verketteten Audit-Log aufgezeichnet. Export für Compliance-Nachweise.

Vigo-Inventarseite mit Flottenanzahl (envoys, BS-Familien, BS-Versionen) und einer interaktiven Trait-Suche, die blockdevices.nvme0n1.readonly mit Ergebnissen pro Hostname erkundet

Flotteninventar — interaktive Trait-Suche

Vigo pro-envoy-Seite für girlslaptop mit Converged-Status, Registrierungsdatum, Drift-Verlauf/Letzte Ausführungen/Traits/Konfiguration anzeigen/Konfigurations-Trace/Normative Compliance/Angriffsfläche/Sitzungen-Tabs und SSH/RDP/Shadow-Aktionsschaltflächen

Pro-envoy-Detailansicht — Drift-Verlauf, Traits, Konfigurations-Trace, Fernzugriff

🕸 Peer-to-Peer (Swarm)

Ein ausschließlich envoy-basiertes Peer-to-Peer-Netzwerk — Inhaltsverteilung, Dateisynchronisierung, privates Git, Artifacts und ein geordnetes Log, direkt zwischen Ihren eigenen Maschinen bereitgestellt, ohne Server im Datenpfad.

Swarm — das P2P-Substrat

Inhaltsadressierte Blobs, per SHA256 aufgeteilt und peer-to-peer über mTLS bereitgestellt, mit Rarest-First-Scheduling, adaptiver Bandbreitensteuerung und Multicast-Peer-Discovery im LAN. Kein Server im Datenpfad — alles unten läuft auf Swarm.

Filecast — administrator-gesteuerte Dateiverteilung

Beliebige Nutzlasten vom Operator zur Flotte pushen. Stellen Sie eine Datei mit vigocli swarm filecast distribute (oder über die Admin-UI) bereit, und jeder Ziel-envoy lädt sie peer-to-peer über Swarm. Echtzeit-Fortschrittsverfolgung pro envoy mit Chunk-Quellen-Visualisierung.

Longdrawer — per-user-LAN-Dateisynchronisierung

Legen Sie eine Datei in ~/longdrawer/ ab und sie erscheint auf jedem anderen Rechner, auf dem Sie ein Konto haben. Löschen Sie sie und sie verschwindet überall. Nur im LAN, vollständig peer-to-peer, keine Serverbeteiligung, keine Konfiguration, keine Befehle.

Lockbox — per-user-verschlüsselte Dateisynchronisierung

Wie Longdrawer, aber Ciphertext im Ruhezustand auf jedem envoy. Legen Sie eine Klartextdatei auf dem primären Rechner ab; lockbox verschlüsselt sie für den öffentlichen Schlüssel jedes Peers und verteilt den Ciphertext. Entsperren mit vigo swarm puddle unlock zum Entschlüsseln. Wählen Sie dies für alles, was auf einem gestohlenen Gerät unlesbar bleiben soll.

Gitback — Ihr Quellcode bleibt in Ihrem Netzwerk

Wenn Sie proprietären Code lieber nicht an einen Drittanbieter-Git-Host pushen möchten, spiegelt Gitback Ihre Repos über envoys, die Sie bereits betreiben. Führen Sie vigo swarm gitback project init in einem beliebigen Repo aus; jeder Push wird als Bundle zu Ihren anderen envoys über mTLS verteilt. Wenn Ihre Workstation ausfällt, holt git clone gitback://<your-name>/<repo> von einem anderen Rechner die vollständige Historie zurück. Kein externer Git-Dienst, keine Webhooks, kein Code, der Ihr Netzwerk verlässt.

Curator — inhaltsadressierte Artifact-Registry

Eine Peer-to-Peer-Registry für Binaries und Container-Images, verankert in per-user-puddle-Identität. Artifacts sind inhaltsadressiert und werden über Swarm auf envoys verteilt — keine externe Registry, kein Server im Datenpfad.

Poolq — geordnetes append-only-Flottenlog

Ein geordnetes, append-only-Log und eine Queue, die über die gesamte Flotte geteilt wird, verankert in per-user-puddle-Identität. Produzenten hängen an, Konsumenten lesen in Reihenfolge — alles peer-to-peer über Swarm.

Funktionen