Coding-Autopilot-System/cas-platform
GitHub: Coding-Autopilot-System/cas-platform
该项目为 Coding Autopilot System 提供了一套基于 Bicep 的 Azure 生产级基础设施模板,解决容器应用托管、环境隔离、可观测性及无密钥安全管理的基础底座问题。
Stars: 0 | Forks: 0
# CAS Platform
[](https://github.com/Coding-Autopilot-System/cas-platform/actions/workflows/ci.yml) [](https://github.com/Coding-Autopilot-System/cas-platform/actions/workflows/codeql.yml)
面向生产的 Azure 基础设施基座,专为 Coding Autopilot
System (CAS) 设计。它提供环境隔离的 Container Apps 托管、
基于工作区的可观测性、系统分配的托管标识 (managed identity)、预算,以及
安全的验证工具,且无需存储机密。工作负载模块实现了
公开的 `cas-reference-product` 部署接口。
## v0.1 基础
- 订阅级别的编排,每个环境分配一个资源组。
- 用于可观测性、Container Apps 和预算的可复用 Bicep 模块。
- 系统分配的托管标识与默认最小权限设计。
- Log Analytics、Application Insights、诊断设置、标签和预算。
- 开发、测试和生产参数集。
- 本地和 CI 验证,以及非部署式的 Azure `what-if` 脚本。
- 参考产品配置注入与存活/就绪探针。
- 可选的 Foundry 项目 RBAC,需要明确的项目范围和角色。
## 本地验证
前置条件:PowerShell 5.1+(推荐使用 PowerShell 7)、Azure CLI、Bicep
CLI,以及可选的 Pester 5+。
```
./scripts/validate.ps1
```
如果计算机通过其执行策略阻止了脚本运行,请使用仅限进程的
覆盖方式,而无需更改计算机策略:
```
powershell.exe -NoProfile -ExecutionPolicy Bypass -File .\scripts\validate.ps1
```
要在不部署的情况下运行 Azure 订阅级 `what-if`:
```
az login
./scripts/what-if.ps1 -Environment dev -Location northeurope
```
该脚本仅调用 `az deployment sub what-if`。它绝不调用任何创建
或部署命令。
## 参考产品配置
Container App 会注入 `ENVIRONMENT`、`WORKFLOW_BACKEND`、
`FOUNDRY_PROJECT_ENDPOINT`、`FOUNDRY_AGENT_NAME` 和
`APPLICATIONINSIGHTS_CONNECTION_STRING`。本地模式是安全的默认设置。
Foundry 模式需要提供项目端点和 Next Gen 代理名称。
除非明确提供 `foundryProjectResourceId` 和
`foundryRoleDefinitionResourceId`,否则 Foundry RBAC 将被禁用。该分配仅
会在该 Foundry 项目资源上创建。请在外部选择并批准最小
角色;模板不会假定使用宽泛的内置角色。
## 架构
请参阅[架构](docs/architecture.md)、[威胁模型](docs/threat-model.md)、
和[运维](docs/operations.md)。规划和需求追踪保存在
`.planning/` 下。
## 安全性
默认禁用公共入口。模板不接受任何机密、凭据或访问
密钥。对依赖项的运行时访问使用具有严格范围限制 RBAC 的托管
标识。私有网络和 Azure Policy 将暂时
推迟,直到目标着陆区契约定义了拓扑和所有权。
标签:AI合规, API集成, Azure, Bicep, 可观测性, 容器应用