[Priority: Med] [Ops] 补齐 deploy 自动化契约：非交互预检、健康验收与参数校验

[liujuanjuan1984]

背景

当前 deploy 流程可用，但在 agent 非交互调用场景下，成功语义与失败语义尚不够标准化，影响自动化编排稳定性。

归类缺口（来源于 #145 审查）

• 缺口 A：deploy 缺少与 uninstall 对齐的非交互 sudo 预检（如 sudo -n 语义）。
• 缺口 B：启动后缺少健康探测 + 超时 + 机器可读状态返回契约。
• 缺口 C：provider/model 与 secret 的前置校验仍有空档（当前为 partial validation）。
• 缺口 D：配置写入阶段缺少对 EnvironmentFile 注入风险（如换行污染）的统一防护策略。

目标

• 将 deploy 脚本从“可执行”提升为“可编排”：非交互稳定、失败可判定、结果可机读。

范围

1. 非交互执行预检规范。
2. 部署完成判定规范（readiness + timeout + exit code contract）。
3. 参数/密钥前置校验规范（provider/model/secret 组合）。
4. EnvironmentFile 安全写入规范。

非目标

• 当前不引入新的控制面服务。
• 当前不替换 systemd 主路径。

验收标准（需求/方案阶段）

• 形成 deploy 输入校验与返回码规范文档。
• 形成健康检查判定与失败分类（可供 agent 重试/熔断）。
• 形成 EnvironmentFile 安全写入与敏感值处理规范。

关联

• Relates to [Priority: High] [Feature] 支持消费方按需自部署 opencode-a2a-server（参数化拉起） #145

参考快照

• repo HEAD: c5b0052

[liujuanjuan1984]

补充一个与 #148 相关的部分进展说明：

在分支 issue-163-164-168-deploy-security-docs（提交 81cb02d3d9da4e3afc7485c7ccb6f8df5f2737d0）里，setup_instance.sh 已增加 EnvironmentFile 单行值校验，拒绝带换行/回车的值写入 env files，用来降低 newline-based injection 风险。

这只是 #148 中“EnvironmentFile 安全写入规范”的一部分收敛，不足以关闭该 issue。#148 里剩余的非交互预检、readiness/timeout、参数校验契约仍需单独推进。

[liujuanjuan1984]

补充一条审查结论：

当前 PR #169 与 #148 相关，但只属于部分前进，不满足关闭标准。

本次已覆盖：

• setup_instance.sh 对 EnvironmentFile 写入增加了单行值校验，降低换行污染风险

本次未覆盖：

• 非交互 sudo 预检
• readiness/timeout/exit code 的机器可读契约
• 更完整的 provider/model/secret 组合校验

结论：

• #169 应与 #148 保持 Relates to
• #148 不应随当前 PR 关闭

关联：

• PR: harden: default systemd deploy to operator-managed secrets #169

[liujuanjuan1984]

基于当前主干 c0ea66462f95cd6388a04c1d4f0e61e931c2d4cf 和当前工作分支 ops/issue-148-deploy-contracts，补充一版审查与实施结论：

审查结论

#148 仍然有效，但需要按最新主干修正优先级：

• 缺口 A 仍然成立：deploy 主路径此前没有像 uninstall.sh 那样在非交互场景下做 sudo -n 预检。
• 缺口 B 仍然成立：deploy 此前只做到 systemctl enable --now，没有把 /health readiness、超时和机器可读结果纳入脚本契约。
• 缺口 C 仍然成立，但最佳实现方式应收敛为“已知 provider 的 provider/model/secret 组合前置校验”，而不是试图在 deploy 层完全复制 OpenCode 的全部 provider 规则。
• 缺口 D 已经部分收敛：setup_instance.sh 主干里已有 EnvironmentFile 单行值校验，换行/回车注入风险不是本次分支的主增量，只需要保留并在文档里明确为既有安全基线。

本次采用的最佳方案

按当前代码结构，最佳实现位置是：

1. scripts/deploy.sh
   • 增加统一 sudo 预检，非交互场景要求 sudo -n 可用，避免部署做到一半才失败。
2. scripts/deploy/setup_instance.sh
   • 增加 OPENCODE_PROVIDER_ID / OPENCODE_MODEL_ID 成对校验。
   • 对已知 provider（Google/OpenAI/Anthropic/Azure OpenAI/OpenRouter）前置检查对应 secret 是否已提供。
3. scripts/deploy/enable_instance.sh
   • 在 systemctl enable --now 之后轮询 GET /health。
   • 引入显式超时、轮询间隔和机器可读 JSON 状态行。
   • 用分类 exit code 区分 systemd_reload_failed / systemd_start_failed / systemd_not_active / readiness_timeout / missing_dependency / invalid_argument。
4. scripts/deploy/run_opencode.sh
   • 保留 defense in depth：运行时再次校验已知 provider 的必需 secret。
5. 文档与测试
   • 同步 deploy/readme/SOP 契约与文本测试，避免实现和文档漂移。

相关 issue 判断

当前没有发现必须和 #148 绑在同一分支一起做的高度相关 open issue。

• #146（Docker 路线评估）属于后续可选部署形态，不建议并入本次 systemd deploy 契约补齐。
• #180（bootstrap/release manifest）相关度也不够高，不建议捆绑。

当前进展

上述方案已在当前分支实现并完成基线验证：

• uv run pre-commit run --all-files
• uv run pytest

结果：通过。

[liujuanjuan1984]

当前实现已提交到 Draft PR：

• PR: ops: harden deploy automation contracts #196
• 分支: ops/issue-148-deploy-contracts

本 PR 直接实现 #148 的 deploy 自动化契约补齐，当前关联关系应为：

• PR #196 => Closes #148
• PR #196 => Relates to #145