Tiyi 文档
Tiyi 是一个 Go 二进制,运行 Caddy 反向代理、带 OWASP 核心规则集的 Coraza WAF、嵌入式 SQLite 控制平面与 Vben Admin UI。这些文档涵盖从五分钟首次启动到加固的多节点生产部署的全部内容。
从这里开始
如果你是首次运行 Tiyi,按顺序读这三页。整体大约花 30 分钟,结束后你会有一个真实的 WAF 挡在真实的上游前面。
1快速开始
构建二进制,启动 tiyi standalone,创建第一个站点,看 WAF 拦截真实攻击。五分钟。
2安装
从源码构建,或下载签名版本,写 YAML 配置,并在 standalone、server 与 agent 模式之间选择。
3领域模型
站点、上游池、证书、WAF 策略、节点、遥测、审计链 —— 它们各是什么,又是如何配合的。
4CLI 参考
每一个 tiyi 子命令按资源分组,附上重要的 flag 与退出码契约。
5API 概览
驱动 UI、CLI、节点流的 ConnectRPC 契约。鉴权、错误码与 14 个服务。
6部署
生产加固、带 epoch 隔离的 HA 故障转移、SIEM 转发、可观测性与升级路径。
设计哲学
三个架构决策塑造了后续所有页面:
- 一个二进制,零运行时依赖。无 Docker daemon、无 Nginx、无 Postgres、无 Redis。二进制内置 Caddy、Coraza、SQLite 与 Vben Admin UI。一个合格的运维应该能在五分钟内拉起一个可用实例。
- API 优先 + 声明式 YAML。每一个写入路径都由一个 ConnectRPC API 拥有。UI 与 CLI 都是它的瘦客户端。
tiyi apply -f site.yaml与点击保存效果完全相同 —— 同一个验证器、同一个写入器、同一行审计。 - 推送 + 协调,不只是推送。节点持有一条长连 ConnectRPC 双向流。每一次变更写 SQLite、自增单调版本号,并把签名 bundle 推送到所有打开的节点流,~50 ms 内到达。节点每 15 s 协调一次作为兜底。更新按版本号幂等 —— 重放与乱序都安全。
这些文档不是什么。它们覆盖运维表面 —— 安装、运行、加固。内部架构与每一个 RPC 的规约,权威来源是源码树中的 PRD-v3.md、PRD-API.md、PRD-DB.md、PRD-UI.md。在合适的地方我们会给出链接。
覆盖的版本
这些文档面向 v3.0.0-rc.1,首个公开候选版本。该版本上行为已冻结;后续修改 CLI flag、默认值或输出格式的小版本会在更新日志中追踪并同步反映在此处。如果文档中的命令与你运行的二进制冲突,请以二进制为准 —— 并提个 issue。