← всі звіти · federation-upgrade-plan.md

title: Federation upgrade — план переходу handoff'ів VPS↔Desktop з file-based на mTLS канал date: 2026-05-10 status: draft, чекаю ОК Сергія author: VPS Claude

Federation upgrade — план

TL;DR

Замінюємо файловий handoff (outbox-to-desktop / inbox-from-desktop) на двосторонній mTLS-канал зі structured messages. VPS-Claude (я) і Desktop-Claude бачать handoff'и миттєво, без ls outbox-to-desktop/. Кожне повідомлення підписане ed25519, не може бути підкладене третьою стороною з root-доступом до VPS.

Запозичено з ruflo Federation, але мінімалістично — без trust-scoring layer, без cross-machine swarms (це overkill для однієї пари VPS+Desktop).

Стан "як є" (baseline)

Поточний handoff flow

VPS → Desktop:
- Я роблю Write /root/.claude/projects/-/memory/outbox-to-desktop/<timestamp>-<topic>.md
- Desktop у наступній SessionStart hook'у читає директорію + завантажує файли в additionalContext
- Або: Desktop робить ssh root@31.131.26.203 'cat outbox-to-desktop/*.md' (вручну)
Desktop → VPS:
- Desktop пише локально + cat note.md | ssh root@31.131.26.203 'cat > inbox-from-desktop/<timestamp>-topic.md'
- Мій SessionStart показує count + список імен файлів
Після обробки: файли переносяться в processed/ ручним mv

Проблеми

Latency: Desktop бачить мої повідомлення тільки на наступному SessionStart. Якщо у нього сесія вже працює — нічого не отримує до restart'у.
Manual moves: треба пам'ятати mv processed/, інакше дубль-обробка
No verification: будь-хто з root-доступом до VPS може написати файл «від мене» в outbox — Desktop не зможе перевірити автентичність
No structured payload: вільний markdown, кожен агент парсить по-своєму
Lost messages on conflict: якщо обидва пишуть одночасно — файлова система не дає замок, можлива race condition

Стан "як буде" (after Federation)

Архітектура

┌──────────────┐                       ┌──────────────┐
│  VPS Claude  │  ───── mTLS WSS ────  │   Federation │
│  (Telegram   │  ←──── push events ──  │   Broker      │
│   bot)       │  ───── ed25519 sig ─  │   (на VPS)    │
└──────────────┘                       └──────────────┘
                                              ↑
                                              │ mTLS WSS
                                              ↓
                                       ┌──────────────┐
                                       │Desktop Claude│
                                       │ (Windows /   │
                                       │  Cowork)     │
                                       └──────────────┘

Компоненти

Broker service (/srv/services/federation-broker/, Python + websockets + sqlite)
- WSS-сервер на 127.0.0.1:8090, прокинутий через Caddy на federation.deltamedicalservices.online (після NS-handoff)
- Реєстрація клієнтів через mTLS-handshake (ed25519 client certs)
- Persistence у sqlite: messages table (id, from, to, payload_json, signature, created_at, delivered_at, ack_at, status)
- Push notifications: коли VPS пише — Desktop одразу отримує (якщо connected); коли offline — accumulates і пушить при reconnect
Client SDK (federation_client.py, embedded в обох Claude-сесіях)
- Async websocket-листенер на бекграунді
- Hooks у SessionStart + Stop
- API: fed.send(to, topic, payload), fed.poll(since), fed.ack(message_id)
mTLS certs (/srv/passepartout/federation/)
- Self-signed CA, ротація кожні 6 міс
- Client certs: vps-claude.crt, desktop-claude.crt

Структура повідомлення

{
  "id": "2026-05-10T12:00:00Z-abc123",
  "from": "vps-claude",
  "to": "desktop-claude",
  "topic": "superpowers-plugin-trial",
  "priority": "normal",
  "payload": {
    "type": "task",
    "title": "Обкатати obra/superpowers",
    "body": "...markdown text...",
    "actions": ["install", "test", "report"]
  },
  "signature": "ed25519-base64-...",
  "ts": "2026-05-10T12:00:00Z"
}

Що змінюється для мене (VPS Claude)

Замість Write /root/.claude/projects/-/memory/outbox-to-desktop/...md:

fed.send(to="desktop-claude", topic="superpowers-plugin-trial",
         payload={"type": "task", "title": "...", "body": "..."})

Або через slash-команду: /fed-push desktop-claude task "Обкатати obra/superpowers"

Що змінюється для Desktop

Замість читання outbox у SessionStart:

Background WebSocket listener
Notification у Telegram або у Claude Code банер: «1 новий handoff від VPS»
Команда /fed-list показує всі непрочитані
/fed-ack <id> — відмічає прочитаним (без ручного mv processed/)

План впровадження (3 етапи, 3 дні)

Etap 1 — Broker MVP (1 день)

[ ] Створити /srv/services/federation-broker/
[ ] Згенерувати CA + client certs у /srv/passepartout/federation/
[ ] Python websocket-сервер з mTLS auth
[ ] sqlite schema + persistent message queue
[ ] systemd unit federation-broker.service, Caddy reverse-proxy на 8090

Etap 2 — Client SDK (1 день)

[ ] federation_client.py — async listener + send API
[ ] CLI: fed-cli send|list|ack
[ ] Інтеграція у мій SessionStart hook (/usr/local/bin/session-start-check.sh)
[ ] Тестовий handoff VPS→VPS (loopback) — переконатись що msg доходить

Etap 3 — Desktop integration + migration (1 день)

[ ] Передати Desktop client cert + handshake URL через safe channel
[ ] Інтегрувати у Desktop SessionStart
[ ] Migration: переробити одне-два існуючі handoff'ів (наприклад superpowers-plugin-trial) через broker замість файлу
[ ] Залишити file-based handoff як fallback на 2 тижні (паралельний режим), потім deprecate

Загалом: 3 дні роботи.

Що НЕ робимо в Federation MVP

Trust scoring (репутація agents) — overkill для пари VPS+Desktop
Cross-machine swarms (>2 нодів) — у нас тільки 2 інстанси
PII-детект (як в ruflo) — handoff'и не містять PII за змістом, плюс mTLS вже захищає від external eavesdrop
Federation з зовнішніми Claude-сесіями (наприклад іншими тимовими) — тільки наш VPS+Desktop pair
Заміна Telegram-бота як комунікаційного каналу — Telegram лишається UX між тобою і нами, federation лиш VPS↔Desktop infrastructure layer

Ризики

Ризик	Mitigation
Broker впав → handoff'и стоять	systemd auto-restart + Watchdog моніторить health endpoint + fallback на file-based
Desktop offline → повідомлення в очікуванні	sqlite queue зберігає до reconnect (TTL 7 днів)
mTLS certs протухли	Cron-нагадування за 30 днів до expiry + Watchdog алерт
Race condition між file-based і broker під час migration	Spec: новий handoff пише ТІЛЬКИ в один з каналів, обидва listener'и відпрацьовують ідемпотентно
Хтось з root-доступом VPS впише фейкове від мого імені	mTLS не врятує (root має ключ), але можна ротати ключі швидше + audit log у sqlite

Інтеграція з SPARC-upgrade'ом

Federation і SPARC незалежні. Можна робити паралельно або послідовно:

Послідовно (рекомендую): спочатку SPARC (4 дні), потім Federation (3 дні). Загалом 7 днів.
Паралельно: обидва водночас, але я boil down складніше; ризик помилок у обох вище.

Federation НЕ впливає на PM-Agent / Dev Crew логіку. Це окремий transport layer.

Запитання до Сергія перед стартом

Послідовно (SPARC → Federation, 7 днів) чи паралельно (4-5 днів, але вище ризик) — як зручніше?
Domain для broker'а: federation.deltamedicalservices.online (потрібно дочекатись NS-handoff з Hostiq на Cloudflare). Поки на 31.131.26.203:8090 з self-signed CA — ОК?
Як хочеш отримувати notifications про нові handoff'и: (а) тільки в Claude Code банері, (б) теж пушити у Telegram, (в) лише у логи?
Залишаємо file-based outbox/inbox як fallback на 2 тижні, чи одразу deprecate після успішного migration?

Артефакти цього плану

Після ОК Сергія:

Цей файл переходить у status: approved
Готую 01-specification.md за SPARC-методикою (тобто і для самого Federation робимо SPARC-pipeline)
Створюю TaskList з 3 етапів
Виходжу на Etap 1 (Broker MVP)