Zum Hauptinhalt springen

Managed MCP-Clients ausrollen

Bei einem verwalteten Rollout übernimmt die Organisation Verantwortung für Runtime Profile, unterstützte Client-Targets und Policy für nicht verwaltete Einträge. Beginne nicht mit Fleet Enforcement. Erprobe Profil und Recovery-Pfad zuerst auf einem repräsentativen Host.

Rollout-Stufen

Organisationsprofil vorbereiten

Vor Änderungen an Client-Dateien:

  1. Organisationskontext auswählen,
  2. Runtime Profile für den Rollout festlegen,
  3. nützliche bestehende Einträge aus unterstützten Clients importieren,
  4. fehlende Runtime Inputs und Secret-Referenzen auflösen,
  5. Client-Targets und Config-Pfade im Scope erfassen und
  6. entscheiden, ob nicht verwaltete Einträge später erlaubt oder blockiert werden sollen.

Nutze --dry-run vor jeder neuen Import- oder Sync-Form.

Codex vorbereiten und erproben
lightnow context --tenant acme
lightnow import-config --client codex --profile platform --dry-run
lightnow import-config --client codex --profile platform
lightnow sync --client codex --profile platform --local-proxy --dry-run
lightnow sync --client codex --profile platform --local-proxy
lightnow config-status --client codex --json
lightnow-proxy --config ~/.lightnow/lightnow-proxy/codex.yaml --health --json

Die CLI legt vor dem Schreiben neben einer bestehenden Client-Config ein .lightnow.bak-Backup an. Prüfe, ob der Pilot-Client startet, die erwarteten Tools entdeckt und eine repräsentative Anfrage abschließt, bevor du die Organisations-Policy änderst.

Organisations-Policy konfigurieren

Lege in LightNow Config die Local-Proxy-Policy der Organisation fest:

EinstellungBedeutung für den Rollout
EnabledErlaubt Policy-Sync mit Local Proxy für ausgewählte Clients
Runtime ProfileVon --from-settings ausgewähltes Profil
Managed ClientsUnterstützte Targets, auf die Proxy-Policy angewendet wird
Unmanaged EntriesErlaubt Koexistenz oder entfernt umgehende MCP-Einträge
Policy ModeObserve erfasst Posture; Enforce wendet die Grenze an
Metadata-only TelemetryAktiviert Runtime- und Health-Events ohne MCP-Payload-Speicherung

Beginne mit erlaubten nicht verwalteten Einträgen, sofern die Organisation nicht bereits alle benötigten direkten Einträge geprüft und importiert hat. Das Blockieren ist eine destruktive Policy-Entscheidung für die Client-Datei, auch wenn ein Backup angelegt wird.

Policy auf eine Pilotgruppe anwenden

1
Mit einem Client-Typ beginnen

Wähle ein repräsentatives unterstütztes Target und Betriebssystem.

2
Einstellungen explizit anwenden

Führe lightnow sync --client <client> --from-settings auf jedem Pilot-Host aus.

3
Posture und Health prüfen

Prüfe nach dem Client-Neustart sowohl die Client-Datei als auch aktive Upstream-Health.

4
In messbaren Kohorten erweitern

Ergänze Client-Typen und Hosts erst, wenn die vorherige Kohorte keine ungelösten Config-, Authentifizierungs- oder Upstream-Fehler besitzt.

lightnow context --tenant acme
lightnow sync --client codex --from-settings
lightnow config-status --client codex --json

Wiederhole den Policy-Sync für jedes Managed-Client-Target. Das Speichern von Organisationseinstellungen allein schreibt keine Workstation-Dateien um.

Managed State verifizieren

Erfasse pro Host:

  • Client-Target und Config-Pfad,
  • ausgewählte Organisation und Profil,
  • config-status-Posture,
  • LightNow-Proxy-Health-Ergebnis,
  • ob nicht verwaltete Einträge laut Policy bestehen bleiben und
  • Client-Neustart sowie repräsentatives Tool-Ergebnis.

managed ist die gewünschte Posture, wenn umgehende Einträge blockiert sind. mixed ist nur korrekt, wenn die Organisations-Policy nicht verwaltete Einträge bewusst erlaubt.

Fehlgeschlagenen Host wiederherstellen

Verdecke einen fehlerhaften Rollout nicht durch ein unpassendes Profil oder anonymen Modus.

  1. Erweiterung der Kohorte stoppen.
  2. config-status --json und Proxy-Health-Ausgabe erfassen.
  3. Authentifizierung, Profil-Readiness oder fehlerhaften Upstream korrigieren.
  4. Ist die geschriebene Client-Datei selbst unbrauchbar, ihr benachbartes .lightnow.bak-Backup wiederherstellen.
  5. --from-settings erst erneut ausführen, wenn die Ursache verstanden ist.