Rizoma Mesh - приватное сетевое ядро
Регистрирует узлы, назначает mesh IP и имена rizoma.mesh, строит зашифрованные QUIC-пути через TUN, распространяет ACL-политики и сохраняет доступность сложных сетей через relays и ingress. Это базовый слой, от которого зависят продукты Rizoma.
Настоящая сетевая ткань, а не страница про VPN.
Реализация разделена на бинарные компоненты с понятными ролями: agents передают пакеты, coordinator управляет идентичностью и политиками, relays сохраняют доступность, ingress публикует выбранные сервисы, а dashboard/API делают сеть управляемой.
Agent
Работает на каждом узле, открывает TUN-интерфейс, применяет маршруты, публикует endpoints, отправляет heartbeat и передает зашифрованные пакеты по QUIC.
Coordinator
Управляет регистрацией, MeshCA, peer records, setup keys, RBAC, ACL-распределением, инвентарем relays, мониторингом, snapshots и системными API.
Policy Plane
Собирает ACL, teams, groups, firewall rules, наблюдения mesh firewall, incidents, quarantine state и ответы sync для каждого узла.
Transport
Использует QUIC streams/datagrams, гибридную сессию X25519 + ML-KEM-768, AES-GCM для payload, replay checks и relay fallback.
Edge
Ingress маршрутизирует выбранный публичный трафик через SNI, HTTP proxy, TCP/TLS passthrough, UDP relay, certificates, WAF signals и балансировку.
Mesh управляет узлами, именами, политиками, доступностью и доказательной базой.
Страница должна ясно показывать, что Mesh является control plane и data plane под Webpanel, S3, messaging, identity и другими компонентами Rizoma.
Регистрация и инвентарь
Setup keys, device approval, node tokens, peer lists, live streams, runtime stats, host inventory и видимость версий.
MeshCA и Magic DNS
Сертификаты идентифицируют узлы, а DNS-лейблы превращают peers в стабильные имена под rizoma.mesh.
ACL и группы
Выбор teams и peers, направление source/destination, protocols, ports и per-node ACL sync делают доступ явным.
Резервная связность
Relay registration, heartbeat, certificates, regions, tokens, session state, traffic metrics и команды reassignment.
Контролируемая публикация
Domains, certificates, services, backend targets, route status, protection state и назначения agents.
Метрики и события
Prometheus metrics, host telemetry, service telemetry, monitoring events, notifications, database health и snapshots.
Пакеты попадают в mesh как обычный IP-трафик.
Приложения обращаются к mesh IP или именам Magic DNS. Agent захватывает трафик через TUN, определяет destination peer, шифрует пакеты и отправляет их по лучшему доступному QUIC-пути.
Прозрачный захват IP
Каждый узел получает TUN-интерфейс, /32 mesh address и маршруты для сети 100.64.0.0/10.
Magic DNS
Имена peers нормализуются в стабильные hostname под rizoma.mesh, чтобы операторам не нужно было вести DNS вручную.
Современный транспорт
Peer traffic использует QUIC для мультиплексирования, TLS-свойств транспорта, streams/datagrams и UDP-доступности через firewalls.
Защита payload
Гибридная сессия объединяет X25519 и ML-KEM-768, затем защищает payload через AES-GCM и replay checks.
Fallback доступности
Relays сохраняют связность, когда прямые пути между peers недоступны, при этом forwarded payload остается зашифрованным.
Exit-node routing
Linux routing может перенаправлять трафик через выбранный mesh gateway с route exclusions, NAT, MSS clamping и leak controls.
Идентичность, шифрование и policy встроены в сетевой путь.
Mesh не полагается на плоскую доверенную подсеть. Узлы регистрируются, получают сертификаты и токены, публикуют heartbeat state, синхронизируют ACL, а пакетный поток ограничивается identity-aware policy.
MeshCA
Coordinator выпускает и обновляет mesh certificates, хранит CA material с защитой ключей и открывает операции с сертификатами через защищенные API.
Гибридная криптография
Session setup связывает QUIC keying material с обменом X25519 + ML-KEM-768, confirmation tags, AES-GCM и replay windows.
Authorization
RBAC, setup keys, node tokens, sessions, scopes API tokens и permissions на уровне методов защищают control plane.
Mesh firewall
Agents отправляют observations; coordinator отслеживает mesh events, incidents, summaries, quarantine state и remediation policy.
Capture
Трафик приложения, адресованный 100.64.0.0/10, попадает в локальный TUN-интерфейс.
Resolve
Agent сопоставляет destination mesh IP или Magic DNS name с identity peer, endpoint и разрешенной policy.
Encrypt
Payload упаковывается активной E2E-сессией до выхода с узла.
Transport
QUIC отправляет напрямую, когда это возможно, или через relay fallback, если NAT и доступность требуют обходного пути.
Inject
Принимающий agent проверяет source identity, расшифровывает, проверяет replay state и вводит пакет в свой TUN device.
Операторы видят и контролируют сетевую ткань.
Mesh включает dashboard/API surfaces, installers, metrics, telemetry, snapshots и package workflows, чтобы приватную сеть можно было эксплуатировать как production-инфраструктуру.
Dashboard
Dashboard проксирует /v1 APIs, выдает installers для peers и relays и дает операторам поверхность управления.
Coordinator API
Endpoints покрывают auth, nodes, peers, ACLs, relays, ingress, MeshCA, firewall, telemetry, snapshots, WAF и monitoring.
Observability
Agent, coordinator, relay, ingress и dashboard отдают health, readiness, info и защищенные Prometheus metrics.
Packaging
APT/DNF/YUM packaging, systemd units, installers, relay registration и update status входят в эксплуатационный контур.
Где базовый mesh действительно нужен.
Mesh является фундаментом для защищенного доступа, приватных сервисных сетей и остального продуктового стека Rizoma.
Приватный доступ без плоского периметра
Заменяет широкий VPN-доступ идентичностью узлов, mesh IP, Magic DNS, явными ACL и зашифрованными per-peer путями.
Объединение серверов, офисов и облаков
Соединяет Linux hosts, внутренние сервисы, удаленные офисы и cloud nodes через одну управляемую сеть.
Базовый слой для продуктов Rizoma
Webpanel, object storage, messaging, security operations и внутренние приложения могут опираться на mesh reachability вместо публичной экспозиции.
Конкретные детали продукта.
Теперь страница следует реальному source tree Mesh, а не старой generic product card.
Постройте приватную сеть до публикации сервисов.
Начинайте с Mesh, когда нужны identity узлов, зашифрованная доступность, policy, relay fallback, ingress и operational evidence в одном базовом слое.