网络访问
为什么需要这个
Section titled “为什么需要这个”Aegis Core 是有状态运行时。桌面应用、移动应用、channels、MCP clients 和 Agent 插件都需要一个 Core URL。应该选择哪种网络路径,取决于哪些设备需要访问,以及这个 endpoint 是否应该暴露到公网。
| 方式 | 适合场景 | Core URL 形态 | 说明 |
|---|---|---|---|
| Local-only | 只有同一台电脑上的桌面应用控制 Core | http://127.0.0.1:8787 | 最安全的默认值。移动设备无法直接访问。 |
| LAN | 手机和电脑在同一个可信局域网 | http://192.168.x.x:8787 或 http://hostname.local:8787 | 适合家庭/实验室测试。不要在不可信 Wi-Fi 上使用。 |
| Tailscale Serve | tailnet 内设备私有访问 | https://<device>.<tailnet>.ts.net | 适合 owner 设备跨网络访问,是常见默认选择。 |
| Tailscale Funnel | 通过 Tailscale 临时公网访问 | https://<name>.<tailnet>.ts.net | 属于公网暴露。谨慎使用,并保持 Aegis auth 开启。 |
| Cloudflare Tunnel | 不开路由器端口,但需要稳定公网 HTTPS hostname | https://aegis.example.com | 适合 webhook、局域网外移动访问和 owner 控制的域名。 |
| VPS / public host | 常驻远端 Core | https://aegis.example.com | 需要加固、备份、监控和 owner 控制的 secrets。 |
- 只需要桌面应用时,使用 local-only。
- 手机、平板或第二台电脑需要从局域网外私有访问 Core 时,优先考虑 Tailscale Serve。
- 需要真实公网 HTTPS hostname、webhook callback,或不想依赖 VPN client 的移动访问时,使用 Cloudflare Tunnel。
- Tailscale Funnel 和 public host 都属于公网暴露。保持 Aegis auth,不要用它们承载早期开发构建。
配对移动设备
Section titled “配对移动设备”桌面应用应该生成包含这些信息的配对二维码或 setup link:
- Core URL。
- Node ID。
- Platform 和 device family。
- 可选 scoped node token。
如果手机无法连接,先检查网络路径,再考虑轮换 token:
- 在手机浏览器中打开 Core URL。
- 确认桌面应用显示 Core healthy。
- 确认 URL 使用的是手机实际可达的路径。
- 如果 Core URL 改过,重新生成 pairing link。
Operator Notes
Section titled “Operator Notes”Cloudflare Tunnel 和 Tailscale 只是传输方式。它们不会替代 Aegis auth、scoped Native Node token、工具审批策略、provider secrets 或 evidence logging。