Votre vigie, sur votre serveur, pour votre trafic uniquement
VIGIL-MESH opère l’infrastructure de relais pour vous. Mais vous pouvez aussi déployer votre propre vigie sur votre serveur : elle s’enregistre automatiquement auprès de vigil.design, reçoit toute sa configuration du contrôleur et ne servira jamais que les réseaux de votre espace de travail. Même binaire, même protocole, aucun fork — et même compromise, une vigie ne peut pas lire votre trafic.
Ce qu'est une vigie
Une vigie est un relais aveugle et un coordinateur de traversée NAT. C'est tout : sa mission est fermée et exhaustive.
Porteur de paquets chiffrés — elle transporte des octets qu'elle ne peut pas lire.
Fan-out multicast — elle recopie un flux chiffré vers les membres d'un groupe.
Miroir d'adresse publique — elle renvoie à chaque nœud l'adresse sous laquelle il est vu depuis l'extérieur.
Introducteur NAT — elle met deux nœuds en relation pour qu'ils ouvrent un chemin direct.
Sentinelle d'admission — elle vérifie qu'un nœud a le droit de rejoindre avant de relayer quoi que ce soit.
Rien d'autre. Une vigie ne détient jamais de clé de session, jamais de netmap en clair, jamais un seul octet de contenu. Elle est jetable : tout son état se reconstruit auprès du contrôleur en moins de 60 secondes.
Quand déployer la vôtre
L'infrastructure de vigies publiques est opérée pour vous. Déployer la vôtre répond à des besoins précis — mais jamais à la confidentialité du contenu, qui est déjà garantie par conception.
Souveraineté du chemin relayé
Vos octets relayés ne transitent que par vos propres machines, jamais par une infrastructure tierce.
Proximité
Une vigie posée dans votre datacenter ou votre région, au plus près de vos nœuds.
Conformité
Un relais qui reste dans votre périmètre contractuel et juridique.
Capacité dédiée
Un gabarit de référence, en objectif de conception : 4 vCPU / 8 Gio / 5 Gbps pour environ 10 000 connexions.
Dédiée à vous, structurellement
La portée « privée » d'une vigie est liée à exactement un espace de travail. Cette portée est fixée par le contrôleur au tout premier enregistrement ; elle n'est jamais configurable localement.
La vigie refuse toute allocation émanant d'un autre client, même si le contrôleur tombe en panne.
Elle n'est jamais publiée dans l'annuaire global des vigies.
Elle n'apparaît que dans les cartes (netmaps) de vos propres réseaux.
Une vigie privée n'est visible que dans les réseaux de son espace de travail ; les vigies publiques restent partagées dans l'annuaire global.
Comment elle se configure toute seule — pas à pas
1
PrérequisUn serveur Linux avec une IP publique et trois ports entrants ouverts : udp/443 pour le transport QUIC, udp/4433 pour la traversée NAT et tcp/443 pour la qualification. Aucune autre dépendance.
2
Générer un jetonDans la console, créez un jeton de flotte à usage unique. Sa portée est privée et liée à votre espace de travail, côté serveur : vous ne la choisissez pas localement, c'est le contrôleur qui la fixe.
3
Écrire /etc/vigil/vigie.tomlRédigez un fichier de configuration minimal : le jeton, l'empreinte (pin) du contrôleur, l'IP publique et les capacités annoncées. Tout le reste — clés, certificat, allocations — descend du contrôleur.
4
Premier démarrageLa commande register consomme le jeton à usage unique. En retour, la vigie reçoit ses clés de vérification, son certificat de flotte, la liste de ses sœurs et ses premières allocations.
5
Qualification depuis l'extérieurLe contrôleur teste vos trois listeners depuis l'extérieur avant toute allocation de trafic. Une simple connexion sortante ne rend jamais une vigie opérationnelle : elle doit être joignable de dehors.
6
VérifierInterrogez GET /healthz, confirmez l'apparition de la vigie dans la console, puis observez vos réseaux basculer dessus.
De l'écriture du fichier au basculement des réseaux : le jeton amorce l'enregistrement, le contrôleur qualifie les listeners depuis l'extérieur, puis alloue.
Ce que votre vigie ne pourra jamais faire
Certaines garanties ne sont pas des réglages : elles sont structurelles.
Lire votre trafic — impossible, elle n'a aucune clé de session.
Servir un autre client — refusé, sa portée est verrouillée par le contrôleur.
S'auto-déclarer privée — la portée ne vient jamais de la vigie, toujours du contrôleur.
Changer de portée ou de propriétaire impose de la décommissionner et de générer un nouveau jeton — il n'y a pas de reconfiguration en place.
Et si vous ne déployez rien ?
Vous n'êtes obligé de rien installer. Les vigies publiques mutualisées suffisent dans la grande majorité des cas.
Allocation automatique à la vigie la plus proche : une principale et deux vigies de secours.
Déplacement seulement si le gain est significatif (au moins 30 %), pour éviter les bascules inutiles.
Rien à installer, rien à administrer.
Disponibilité
Questions fréquentes
Ma vigie privée peut-elle lire mon trafic ?
Non. Elle est structurellement aveugle : elle ne détient aucune clé de session et ne voit passer que des paquets déjà chiffrés de bout en bout. Même compromise, une vigie ne peut pas lire votre trafic.
Faut-il ouvrir des ports ?
Pour un nœud ordinaire, aucun port entrant n'est nécessaire. Pour une vigie, oui : elle a besoin de trois ports entrants publics (udp/443, udp/4433, tcp/443), car son rôle est d'être joignable pour relayer et coordonner la traversée NAT.
Que se passe-t-il si vigil.design est injoignable ?
La vigie continue de servir les réseaux qui lui sont déjà alloués et n'accepte jamais un autre client. Sans le contrôleur, elle ne peut ni changer de portée ni s'attribuer un nouvel espace de travail.