WorkBuddy对多租户部署有什么环境要求_详解资源隔离与逻辑区分

WorkBuddy对多租户部署有什么环境要求_详解资源隔离与逻辑区分

人工智能

WorkBuddy 不支持原生多租户,企业需通过操作系统级隔离实现:每个租户独占用户账户、安装路径、文件系统、内存/CPU资源、网络端口及权限策略,且须显式配置租户标识与凭证。

☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜

WorkBuddy 官方未提供原生多租户部署能力,其设计定位为单用户、单设备、本地化运行的桌面智能体工作台。若在企业场景中需实现多人共用或角色区分,必须依赖外部架构层进行资源隔离与逻辑区分。以下是满足该目标所必需的环境约束与实施路径:

一、操作系统与部署拓扑限制

WorkBuddy 本身不支持同一安装实例服务多个租户,所有“多租户”形态均需通过独立运行环境实现物理隔离。系统级部署必须确保每个租户拥有专属的操作系统账户及独立安装路径。

1、Windows 环境下须为每位租户创建独立本地用户账户,并在该用户会话中单独安装 WorkBuddy;禁止使用管理员账户全局安装后多用户共享。

2、macOS 环境下须启用多用户登录,每位租户使用独立账户登录后,在其主目录内完成 WorkBuddy 安装与首次初始化;应用程序不可置于 /Applications 全局目录下供多账户共用

3、Linux 环境仅支持 Ubuntu 20.04/22.04 LTS,每位租户需分配独立用户及 home 目录,安装路径必须为 /home/[用户名]/.workbuddy 类格式,且禁止设置 group-writable 权限。

二、磁盘与文件系统强制要求

为防止租户间缓存污染、技能包冲突与知识索引混叠,各租户的运行时数据必须严格限定于独立文件系统空间,且禁止跨账户硬链接或符号链接共享。

1、每位租户的安装路径不得包含中文、空格或特殊字符(如 &、#、%),否则将触发技能市场 403 错误;路径示例:/home/user1/workbuddy_v2604

2、必须使用支持 POSIX 权限与硬链接的文件系统:Windows 须为 NTFS,macOS 须为 APFS,Linux 须为 ext4;FAT32/exFAT 移动硬盘严禁作为任何租户的主安装盘

3、每位租户初始磁盘预留不得低于 2.5GB,其中至少 800MB 专用于沙箱快照保留,该空间不可被其他租户进程访问或挂载

三、内存与进程级隔离配置

WorkBuddy 启动后默认加载本地模型路由模块与多 Agent 协同引擎,若多个实例并发运行,必须防止内存争抢与 CPU 指令集冲突导致的 OOM 或推理失败。

1、单台物理机部署租户数上限由 RAM 总量决定:每租户最低需独占 4GB 可用内存,推荐配置为 6GB;系统总内存低于 32GB 时,严禁部署超过 4 个租户实例

X Detector

最值得信赖的多语言 AI 内容检测器

下载

2、CPU 必须支持 AVX2 指令集,且需通过 cgroups v2 或 Windows Job Objects 对每个 WorkBuddy 进程绑定独立 CPU 核心组;禁止两个租户实例共享同一物理核心

3、启动时须为每个实例指定唯一 --instance-id 参数,并通过环境变量 WORKBUDDY_TENANT_ID 显式声明租户标识;缺失该标识将导致 Claw 远程指令路由失效

四、网络与远程控制通道隔离

Claw 插件是 WorkBuddy 实现跨端调度的核心组件,多租户环境下必须确保 IM 指令接收、WebSocket 长连接与 Webhook 回调完全分域,杜绝消息串扰。

1、每位租户必须绑定独立的企业微信/钉钉/飞书应用凭证(CorpID + Secret),同一套凭证严禁复用于多个 WorkBuddy 实例

2、WebSocket 连接必须使用独立端口(默认 8080 不可复用),建议按租户顺序分配 8081、8082、8083…;端口范围须在防火墙策略中显式放行且互不重叠

3、Webhook URL 必须携带租户唯一签名参数(如 ?tenant=abc123),服务端收到请求后须校验该参数并拒绝无签名或签名不匹配的请求;校验逻辑不可绕过,否则将引发指令越权执行

五、权限与安全策略实施要点

WorkBuddy 默认具备本地文件系统读写权限,多租户部署中必须通过操作系统级策略切断租户间横向访问路径,防止敏感数据泄露。

1、Windows 下须为每位租户启用“用户账户控制(UAC)”并禁用管理员令牌继承,安装过程全程以标准用户权限执行;禁止勾选“允许此程序对计算机进行更改”类提升选项

2、macOS 下须在“系统设置→隐私与安全性→完全磁盘访问”中,仅为对应租户的 WorkBuddy 实例授予访问权限,其他用户账户下的 WorkBuddy 进程不得出现在该列表中

3、Linux 下须为每位租户配置独立 systemd user session,并通过 seccomp-bpf 过滤掉 open_by_handle_at、memfd_create 等高危系统调用;SELinux 策略须启用 targeted 模式并加载 workbuddy_t 租户专用类型

本文地址:https://www.sztg.com.cn/article/620956.html

如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!

猜您喜欢