⚡ Egzekwowanie stanu

Rdzeń Vigo. Zdefiniuj stan docelowy w YAML, agenci egzekwują go idempotentnie.

69 typów zasobów

Pliki, pakiety, usługi, użytkownicy, cron, zapora sieciowa, Docker, IIS, rejestr, ACL, certyfikaty, mounty, sysctl, urządzenia sieciowe i inne — 68 wbudowanych, plus dostarczony przez użytkownika executor własny na potrzeby własnej logiki. Każdy typ zasobu sprawdza stan przed działaniem — bez zbędnych zmian.

7 systemów operacyjnych

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos i Windows. Napisz jedną konfigurację, a agent przekieruje do właściwego backendu, w tym 16 opartych na SSH executorów dla urządzeń sieciowych Cisco, Arista i Juniper.

Logika warunkowa i szablony

Wyrażenia when: z logiką boolowską i wbudowanymi funkcjami (os_family, has_command, arch, version_ge, is_container, has_service) blokują dowolny zasób — serwer ocenia, co może, i przekazuje resztę agentowi. Szablony Go w content: i zewnętrznych plikach source: renderują .Traits i .Vars dla dynamicznej konfiguracji. Bez DSL, bez wtyczek.

Wykonanie w kolejności DAG

depends_on tworzy skierowany graf acykliczny. Zasoby są wykonywane w kolejności topologicznej. notify i subscribes wyzwalają ponowne stosowanie po zmianie zależności. Zależności cykliczne są odrzucane przy załadowaniu konfiguracji.

Wycofanie configcrate

Zadeklaruj state: absent na configcrate, a Vigo przy następnym sprawdzeniu odwraca to, co zastosował: pliki usunięte, pakiety odinstalowane, usługi zatrzymane i wyłączone, polecenia cofnięte przez zadeklarowany rollback. To tylko konfiguracja — deklaratywna, objęta kontrolą wersji i rozwiązywana od najbardziej szczegółowej, więc możesz wycofać zmianę dla całej floty i utrzymać jeden host na present. Po stronie serwera; bez ponownego wdrażania agenta. Dla zasobu, którego nie można cofnąć automatycznie, Vigo generuje plik .retract do przeglądu i opublikowania.

Konwergencja offline

Agenci buforują podpisane pakiety zasad w LMDB. Gdy serwer jest nieosiągalny, konwergencja kontynuuje się w oparciu o ostatnio znane zasady. Wyniki kolejkowane lokalnie są opróżniane po ponownym połączeniu.

Tryb obserwacji

Suchy przebieg kontrolowany przez serwer. Per węzeł lub dla całej floty. Agenci raportują, co zmieniłyby, nic nie stosując. Bezpieczna ścieżka migracji z istniejącego systemu zarządzania konfiguracją.

Wyrenderowany YAML per envoy pokazujący configcrate cis-ubuntu-access z zasobem serwisowym 5.1.1-cron-enabled i zasobem exec 5.1.2-crontab-permissions — dokładnie to, co agent otrzymał po dziedziczeniu ścieżki i scaleniu

Wyrenderowana konfiguracja per envoy — żadnych domysłów, co agent będzie egzekwował

Strona konfiguracji serwera Vigo pokazująca 11 włączonych i 29 dostępnych sekcji serwera — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — każda z przełącznikami włącz/wyłącz

Konfiguracja serwera — 29 przełączalnych sekcji, przeładowanie na żywo

🔒 Zgodność i bezpieczeństwo

22 ram regulacyjnych zmapowanych na egzekwowalne kontrole. Rzetelne deklaracje — Vigo raportuje, co egzekwuje, co zaświadcza, a co wymaga zewnętrznej walidacji.

22 ram zgodności

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Śledzenie zgodności per envoy

Procent pokrycia ram na węzeł. Przejdź do szczegółów, które kontrole są spełnione, które brakuje i które configcrates wypełniłyby lukę. Zwolnienia ze zgodności z osobą zatwierdzającą, powodem i datą wygaśnięcia.

Egzekwowanie wzorców CIS

Gotowe configcrates dla wzorców CIS Ubuntu, RHEL i Windows Server. Ponad 260 kontroli Poziomu 1 i Poziomu 2 egzekwowanych przez idempotentne zasoby, nie tylko skanowanych.

Kwantyfikacja ryzyka

Ocena ryzyka per węzeł (0–100) z siedmiu ważonych czynników: CVE, utwardzanie, rootkity, integralność, otwarte porty, konwergencja i łączność. Panel ryzyka dla całej floty ze sparkline'ami trendów 30-dniowych.

Analiza wpływu CVE

Agenci zbierają dane CVE z Trivy, Debsecan i Windows Update — deduplikowane między skanerami. Przeszukaj flotę z CLI lub interfejsu webowego: które węzły są dotknięte danym CVE, podział według powagi i ścieżki remediacji. Opcjonalne wzbogacenie NVD z oceną CVSS.

Remediacja opracowana przez AI

Kliknij Ask Claude przy dowolnym CVE lub wykryciu utwardzania. Asystent odczytuje stan Twojej floty i opracowuje strategię remediacji — gotowy configcrate .vgo do opublikowania, kolejność aktualizacji, ograniczenia wersji i uwagi o zależnościach. Koniec z pustą kartką dla Twojego zespołu operacyjnego.

Agent weryfikacji Connwaer

Samodzielny agent do aktywnej weryfikacji zgodności. Weryfikuje kontrole, których nie można udowodnić wyłącznie przez egzekwowanie: przechowywanie WORM, jakość RNG, szyfrowanie w spoczynku, segmentacja sieci, cykl życia HSM. 18 możliwości weryfikacji.

Szuflada szczegółów wpływu CVE w Vigo grupująca 7 dotkniętych pakietów według CVE, z kolumnami skanerów Trivy / Debsecan / Lynis / rkhunter / ClamAV / AIDE i przyciskami remediacji Ask AI

🖥 Zdalny dostęp (Scrier)

SSH i RDP w przeglądarce przez istniejący tunel mTLS agenta. Bez VPN, bez bastionu, bez przekierowywania portów.

Terminal SSH — przeglądarka lub CLI

Pełny terminal w przeglądarce przez xterm.js — surowe bajty PTY przez WebSocket, bez Guacamole dla SSH. Lub uruchom vigocli scrier ssh <envoy> ze swojej stacji roboczej przez ten sam tunel: natywny TTY, zmiany rozmiaru okna, kody wyjścia. W obu przypadkach brak portu wejściowego na envoy i brak bastionu SSH do utrzymania.

Graficzny pulpit RDP

Pełny pulpit Windows lub Linux przez Guacamole. Skalowanie dopasowane do okna lub 1:1 z paskami przewijania. Działa z xrdp na Linux, natywnym RDP na Windows.

Efemeryczne poświadczenia

Klucze SSH są generowane na sesję i nigdy nie są przechowywane na serwerze. Mapowanie nazw użytkowników web-to-OS przez CLI. Żadnych trwałych poświadczeń w bazie danych Vigo.

Dziennik audytu

Każda sesja jest zapisana w odpornym na manipulacje dzienniku audytu: kto się połączył, kiedy, który protokół, który envoy. Sesje są śledzone i mogą być zakończone z serwera.

Tryb podglądu / pomocy

Podgląd i kontrola aktywnej sesji pulpitu użytkownika w czasie rzeczywistym. Help desk może obserwować ekran użytkownika lub przejąć kontrolę, by pomóc. Monity zgody użytkownika z konfigurowalnymi politykami (zawsze, raz, nigdy). Linux przez x11vnc, Windows przez TightVNC.

Zero dodatkowej infrastruktury

Scrier tuneluje przez istniejące połączenie gRPC agenta. Brak bastionu SSH, koncentratora VPN, serwera pośredniczącego. Jedna powierzchnia ataku mniej do zarządzania i audytowania.

🔧 Orkiestracja

Polecenia ad-hoc, zadania wielokrotnego użytku, wieloetapowe przepływy pracy i sekwencyjne wykonywanie w całej flocie.

Zadania ad-hoc

Wysyłaj polecenia do dowolnego envoy lub grupy envoys z CLI lub interfejsu webowego. Wyniki strumieniowane w czasie rzeczywistym. Walidacja przed wysyłką blokuje niebezpieczne polecenia, chyba że podano --force.

Zapytania na żywo

Zapytaj o stan floty w czasie rzeczywistym. Zapytaj o użycie dysku, uruchomione procesy, wersje pakietów lub dowolną cechę we wszystkich envoys. Wyniki zagregowane i zwrócone w sekundach.

Nazwane przepływy pracy

Wieloetapowa orkiestracja z rozgałęzianiem warunkowym i obsługą przerwań. Definiuj w YAML, wyzwalaj z CLI lub API. Kroki mogą czekać na wyniki przed kontynuacją.

Sekwencyjne wykonywanie

Podziel cele na partie z konfigurowalnym rozmiarem partii i kontrolami stanu między rundami. Jeśli partia się nie powiedzie, wdrożenie zatrzymuje się przed dotknięciem pozostałej części floty.

11 natywnych integracji + webhooks do wszystkiego

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic i Loki — plus podpisane HMAC wychodzące webhooks do wszystkiego innego. Alerty sterowane zdarzeniami dla bezpieczeństwa, zgodności, konwergencji i rotacji sekretów.

Asystent AI

Zadawaj pytania o swoją flotę w języku naturalnym. Oparty na Claude, OpenAI lub Ollama. Asystent ma dostęp do narzędzi do wysyłania zapytań do envoys, odczytywania konfiguracji, sprawdzania zgodności i wyjaśniania wyników konwergencji.

Strona integracji Vigo pokazująca natywne integracje pogrupowane według kategorii — Alerting/Chat, ITSM/PSA, SIEM/Observability — z kontrolkami włączania/konfiguracji per integracja

💻 Infrastruktura

Cykl życia sprzętu, inwentarz systemu i widoczność całej floty.

Działa za każdą zaporą sieciową

Agenci łączą się wychodzącym połączeniem z serwerem — serwer nigdy nie łączy się przychodzącym. Laptopy za routerami domowymi, maszyny wirtualne za grupami zabezpieczeń, urządzenia mobilne w sieci komórkowej — wszystko działa bez VPN, przekierowywania portów lub reguł zapory sieciowej. Wymagane są tylko dwa porty wychodzące.

50 kolektorów cech

System operacyjny, sprzęt, sieć, dysk, CPU, GPU, oprogramowanie układowe, wyniki skanowania bezpieczeństwa, liczba pakietów, TPM, sterowniki NIC i inne. Własne kolektory cech dla inwentarza specyficznego dla witryny. Wszystkie cechy dostępne w szablonach i wyrażeniach when:.

Ślad konfiguracji

Jedno polecenie pokazuje pełny łańcuch rozwiązywania dla dowolnego węzła: dziedziczenie ścieżki, rozwiązywanie configcrate, nadpisania zmiennych, DAG zależności, znaczniki zgodności, zwolnienia i wyrażenia warunkowe — wszystko śledzone do dokładnego pliku źródłowego.

Metryki Prometheus

Ponad 80 metryk udostępnionych pod /metrics: podział konwergencji, stan bezpieczeństwa (CVE według powagi, utwardzanie, rootkit/malware/integralność), rozkład ryzyka i liczniki floty. Pięć gotowych pulpitów Grafana.

Federacja hub-spoke (Spanner)

Gdy jeden serwer nie wystarczy, rozszerz rejestrację, zapytania i zadania na serwery podrzędne. Każdy serwer podrzędny zarządza własną flotą. Węzeł centralny agreguje. Brak współdzielonej bazy danych.

Odporny na manipulacje dziennik audytu

Każda czynność administracyjna — rejestracja, unieważnienie, wysyłka zadania, dostęp do sekretów, publikacja konfiguracji, sesja Scrier — zapisana w dzienniku audytu z łańcuchem hashów. Eksportuj jako dowód zgodności.

Strona inwentarza Vigo z liczbami floty (envoys, rodziny OS, wersje OS) i interaktywnym wyszukiwaniem cech eksplorującym blockdevices.nvme0n1.readonly z wynikami per hostname

Inwentarz floty — interaktywne wyszukiwanie cech

Strona Vigo per envoy dla girlslaptop ze statusem Converged, datą rejestracji, zakładkami Drift History / Recent Runs / Traits / View Config / Config Trace / Standards Compliance / Attack Surface / Sessions i przyciskami akcji SSH / RDP / Shadow

Szczegóły per envoy — historia dryfu, cechy, ślad konfiguracji, zdalny dostęp

🕸 Peer-to-peer (Swarm)

Sieć peer-to-peer tylko dla envoys — dystrybucja treści, synchronizacja plików, prywatny git, artefakty i uporządkowany dziennik, serwowane bezpośrednio między Twoimi maszynami bez serwera w ścieżce danych.

Swarm — substrat P2P

Bloby adresowane zawartością, podzielone na fragmenty SHA256 i serwowane peer-to-peer przez mTLS, z harmonogramowaniem metodą rarest-first, adaptacyjnym ograniczaniem przepustowości i multicastowym odkrywaniem węzłów w sieci LAN. Brak serwera w ścieżce danych — wszystko poniżej działa na Swarm.

Filecast — dystrybucja plików inicjowana przez administratora

Przesyłaj dowolne ładunki od operatora do floty. Zainicjuj plik poleceniem vigocli swarm filecast distribute (lub z interfejsu administracyjnego), a każdy docelowy envoy pobierze go peer-to-peer przez Swarm. Śledzenie postępu w czasie rzeczywistym per envoy z wizualizacją źródeł fragmentów.

Longdrawer — synchronizacja plików LAN per użytkownik

Upuść plik w ~/longdrawer/, a pojawi się na każdej innej maszynie, gdzie masz konto. Usuń go — zniknie wszędzie. Tylko LAN, w pełni peer-to-peer, bez udziału serwera, bez konfiguracji, bez poleceń.

Lockbox — zaszyfrowana synchronizacja plików per użytkownik

Jak Longdrawer, ale szyfrogramem w spoczynku na każdym envoy. Upuść jawny plik na podstawowym węźle, lockbox zaszyfruje go kluczem publicznym każdego węzła i rozesłe szyfrogramy. Odblokuj poleceniem vigo swarm puddle unlock, aby odszyfrować. Wybierz to dla wszystkiego, co ma pozostać nieczytelne na skradzionym urządzeniu.

Gitback — Twój kod źródłowy pozostaje w Twojej sieci

Jeśli wolisz nie przesyłać zastrzeżonego kodu do zewnętrznego hosta git, Gitback kopiuje Twoje repozytoria na envoys, które już uruchamiasz. Uruchom vigo swarm gitback project init w dowolnym repozytorium; każdy push jest rozsyłany jako pakiet do Twoich innych envoys przez mTLS. Jeśli stacja robocza ulegnie awarii, git clone gitback://<your-name>/<repo> z innej maszyny przywraca pełną historię. Bez zewnętrznej usługi git, bez webhooków, bez kodu opuszczającego Twoją sieć.

Curator — rejestr artefaktów adresowanych zawartością

Rejestr peer-to-peer dla binariów i obrazów kontenerów, zakorzeniony w tożsamości puddle per użytkownik. Artefakty są adresowane zawartością i serwowane między envoys przez Swarm — bez zewnętrznego rejestru, bez serwera w ścieżce danych.

Poolq — uporządkowany dziennik dołączania tylko do floty

Uporządkowany dziennik dołączania tylko i kolejka współdzielona przez flotę, zakorzeniona w tożsamości puddle per użytkownik. Producenci dołączają, konsumenci czytają w kolejności — wszystko peer-to-peer przez Swarm.

Funkcje