エアギャップインストール
Ongrid は完全オフラインでインストールできるよう設計されています。各リリース tarball には以下が同梱:
ongridmanager docker イメージ、ongrid-web(フロントエンド + nginx)docker イメージ、singchia/frontierブローカー docker イメージ、- 4 つの edge プラグインバイナリ(
promtail、otelcol-contrib、node_exporter、process_exporter)のlinux/amd64とlinux/arm64向け、 - アーキ別
ongrid-edgeバイナリ、 - 任意のオフライン埋め込みモデル(
fast-bge-small-zh-v1.5)——make packageの前にmake fetch-embedding-modelを実行した場合のナレッジベース用。
インストール時に Docker Hub、GitHub、ベンダー API を引かれません。実行時の 唯一の外部依存は設定した LLM API エンドポイント —— 完全エアギャップ構成では、 それらをオンプレ vLLM / Ollama / OpenRouter リレーに向けてください。
このページは公開インターネットに到達できない環境向けのワークフローを扱います。
接続済みホストで tarball をダウンロード
インターネット接続のあるワークステーションで:
VER=v0.7.159
gh release download "$VER" \
--repo ongridio/ongrid \
-p 'ongrid-*-linux-amd64.tar.xz*'2 つのファイルが得られます:
ongrid-v0.7.159-linux-amd64.tar.xz # ~380 MB (xz compressed)
ongrid-v0.7.159-linux-amd64.tar.xz.sha256 # the sidecarClash 経由の GitHub アップロード
大きなリリースアセットは Clash プロキシ経由で途中リセットされます。 ダウンロードして tarball が短く終わる場合、NO_PROXY=objects.githubusercontent.com で直接試してください。 常に sha256 を検証(次ステップ)。
sha256 を検証
他の何をする前にも:
sha256sum -c ongrid-v0.7.159-linux-amd64.tar.xz.sha256
# → ongrid-v0.7.159-linux-amd64.tar.xz: OK失敗した場合は 進めないでください。再ダウンロード。
エアギャップホストに転送
サイトで承認された経路で。USB キー、内部アーティファクトリポジトリ、 ジャンプボックス経由 SFTP。2 つのファイルは一緒に運び、転送後に sha256 を再検証可能:
# On the destination host:
sha256sum -c ongrid-v0.7.159-linux-amd64.tar.xz.sha256インストール
サーバーインストール と同じ —— エアギャップ用フラグは不要、 インストーラーは外部に接続しません:
tar xf ongrid-v0.7.159-linux-amd64.tar.xz
cd ongrid-v0.7.159-linux-amd64
sudo ./install.shinstall.sh の動作:
- 同梱の 3 つのイメージを
docker load(images/ongrid.tar、images/frontier.tar、images/ongrid-web.tar)。 - 設定をステージング、ホストデータディレクトリ作成、自己署名 TLS 証明書生成 (ローカル
openssl使用、外部 CA 不要)。 - テンプレートから
.envを配線、強力なランダムシークレットをその場で生成、ONGRID_PUBLIC_URLのプロンプト。 docker compose up -d、/healthzポーリング。
「downloading...」ログ行は見えないはずです。
オンプレでインストール URL をホスト
edge が自身をインストールする際 curl https://<manager>/install.sh | bash を実行します。 取得する install.sh は manager 自身が配信 —— 具体的には nginx が /opt/ongrid/edge/install.sh から提供。edge インストール経路に GitHub や 他の外部依存はありません。
同じ nginx が以下を配信:
| nginx 上のパス | 内容 |
|---|---|
/install.sh | edge install.sh スクリプト。 |
/edge/ongrid-edge-linux-amd64 | edge エージェントバイナリ。 |
/edge/ongrid-edge-linux-arm64 | 同 arm64。 |
/edge/promtail-linux-amd64 | プラグインバイナリ。 |
/edge/otelcol-contrib-linux-amd64 | プラグインバイナリ。 |
/edge/node_exporter-linux-amd64 | プラグインバイナリ。 |
/edge/process_exporter-linux-amd64 | プラグインバイナリ。 |
/edge/apply-pending-upgrade.sh | ADR-024 ExecStartPre フック。 |
/edge/edge-bundle-linux-amd64-<ver>.tar.gz | アップグレードバンドル。 |
/edge/edge-bundle-linux-amd64-<ver>.tar.gz.sha256 | サイドカー。 |
これらはすべて install.sh 実行時に /opt/ongrid/edge/ に着地し、nginx コンテナが 読み取り専用で配信します。他には何も必要ありません。
Edge インストール(エアギャップ)
標準のワンライナーは、edge が manager に到達できる限り動きます:
curl -k -sSL https://manager.internal/install.sh | sudo bash -s -- \
--access-key=AK_xxxxxxxxxxxxxxxx \
--secret-key=SK_yyyyyyyyyyyyyyyy \
--server-edge-addr=manager.internal:40012 \
--server-http-addr=manager.internal:443manager に直接到達できないが内部アーティファクトミラーには到達 可能 な edge ホストがある場合:
- manager の
/install.sh、/edge/*パスを内部 webserver にミラー。 - そのミラー URL をポイントしてワンライナー実行。
- エージェントは
--server-edge-addrと--server-http-addrを依然として 本物の manager に向ける必要があります —— ミラーはインストール アーティファクトのみホストし、トンネルはホストしません。
これは「edge は manager と TCP 40012 + 厳選されたポートでしか話せないが manager への TCP 443 は使えず社内 webserver は使える」設定に便利です。
データプレーンは依然として manager への HTTPS が必要
ログとトレースは各 edge から https://<manager>/loki/api/v1/push と https://<manager>/v1/traces に直接 push されます。edge が manager の 443 に 到達できなければ、これらのプラグインは失敗します。エージェント自体は健全に見えます (40012 だけで足りるため)が、データプレーンは無音 —— edge → manager 経路で 443 が開いていることを確認してください。
エアギャップなモデルプロバイダー
デフォルトの ONGRID_*_API_KEY= スロットはベンダー URL を指します(OpenAI、 Anthropic、Zhipu …)。エアギャップを維持するには、Settings → Models で オンプレリレーを指す Custom (OpenAI-compatible) プロバイダーを設定:
- vLLM —— ダミーの
OPENAI_API_KEYでOPENAI_API_BASE=http://vllm.internal:8000/v1。 - Ollama ——
OPENAI_API_BASE=http://ollama.internal:11434/v1。 - LocalAI / LMStudio —— 同パターン。
- OpenRouter(オンプレ) —— リレーのベース URL を貼り付け。
エージェントは気にしません。OpenAI 互換ワイヤーフォーマットは普遍的です。 そして新プロバイダーを Default provider に設定し、すべてのバックエンド 呼び出し(アラート調査、翻訳、要約)がそれを使うように。
サイドバーの Models 配下にある Custom (OpenAI-compatible) を参照。
エアギャップなナレッジベース(GitHub なしの vault 同期)
組み込みの vault は初回起動時に github.com/ongridio/vault から同期されます。 エアギャップサイトは GitHub に到達できません。2 つの選択肢:
オプション A —— vault をインライン同梱
リリース tarball にはイメージの一部として vault のベースラインスナップショットが 含まれます。初回起動時に manager は直接 Qdrant にコピー —— ネットワーク不要。 ベースライン(リリースタグ時点の最終公開同期)が得られますが、manager をアップグレードするまで 新しいプレイブックは見えません。
オプション B —— vault リポジトリを内部ミラー
- 接続済みホストで公開 vault をクローン:bash
git clone --bare https://github.com/ongridio/vault.git - 社内 Git サーバーに push:bash
git push --mirror git@git.internal:ops/vault.git - Settings → Knowledge → Vault で同期 URL を
git@git.internal:ops/vault.gitに設定し、SSH デプロイキーを貼り付け。manager はGIT_SSH_COMMANDでキーをバインドします —— ADR-023 を参照。
manager は UI(「Sync vault」ボタン)からオンデマンドで vault を再同期。 各 pull は設定済みリモートに対する git fetch —— 経路に GitHub 固有のコードはありません。
アップグレード、エアギャップ
初回インストールと同様、インストール時にインターネット不要。フロー:
- 接続済みワークステーションで:
gh release download v0.7.160 ...と sha256 検証。 - tarball を転送。
- エアギャップホストで:bash
tar xf ongrid-v0.7.160-linux-amd64.tar.xz cd ongrid-v0.7.160-linux-amd64 sudo ./upgrade.sh - UI から Edges → Upgrade all —— edge が
https://<manager>/edge/edge-bundle-linux-amd64-v0.7.160.tar.gzから 新バンドルを取得し、標準の ADR-024 stage-then-swap フローで適用。
tarball をダウンロードするワークステーション以外、インターネットが必要なステップはありません。
詳細は アップグレード を参照。
次は
- Models / Custom (OpenAI-compatible) —— vLLM / Ollama / オンプレリレーを デフォルトプロバイダーとして配線(サイドバーの Models 参照)。
- ナレッジベース機能 —— vault に何が入っているか、 自分のランブックを追加する方法。
- オンプレプラットフォーム —— オンプレ / エアギャップデプロイの広い注意点(SELinux、カスタム CA、アウトバウンドプロキシ含む)。