Ayda 23,90 dolarlık Ravelin üzerinde Synapse + Postgres + Element. Homeserver'ınız röle ve federasyon işlevi görür; kendi E2E trafiğini okuyamaz; Nordic yargı bölgesi, kimsenin bunu denemeye başlamasını kibarca isteyemeyeceği anlamına gelir.
Ayda 23,90 dolarlık Ravelin, yaklaşık 100 odalı iyi federe edilmiş bir Synapse'i rahatça taşır — Postgres, Redis, Synapse worker'ları, oda durum önbelleği, hepsi aynı kutu üzerinde.
Uçtan uca şifreleme yapısaldır — homeserver şifresini çözemediği şifreli metni iletir. KYC'siz yönetici kaydı, operatörün de bir kâğıt izi taşımadığı anlamına gelir.
Nordic yargı bölgesi + tasarım gereği log tutmama + ölçümsüz bağlantı. Aktif bir oda seti için federasyon trafiği gerçek bir hacimdir; burada ekstra fatura kesilmez.
Çoğu kişi için matrix.org'a katılmak doğru yanıttır. Kendi homeserver'ınızı çalıştırmak, kullanıcı adınızın, oda üyeliğinizin ve mesaj meta verilerinizin başka birinin yönetim panelinde yaşamaması gerektiğinde doğru yanıttır. Protokol federe, şifreleme uçtan uca; eksik parça "hesabımın bağlı olduğu kutuyu kim kontrol ediyor" sorusunun yanıtıdır ve bu yanıt tehdit modelini önemli ölçüde değiştirir.
Matrix'in federasyon modeli cömerttir: herhangi bir homeserver başka herhangi bir homeserver ile iletişim kurabilir, odalar sunucular arasında yayılır, şifreleme kullanıcıyı takip eder ve katılmak için merkezi bir dizin gerekmez. Homeserver'ınız çalışmaya başladıktan ve federasyon test aracıyla doğrulandıktan sonra, hesabınız ağın birinci sınıf bir üyesi olur; @user:matrix.org veya @user:mozilla.org gibi, yalnızca kendi alan adınızda.
Synapse için operasyonel süreç çok iyi bilinen bir yoldur: üst akış Docker Compose şablonu, durum yönetimi için Postgres, çalışan havuzu için Redis, yüksek hacimli federasyon için isteğe bağlı parçalı çalışanlar. Bunların hiçbiri yeni değildir; hepsi belgelenmiştir; arıza modları bilinmektedir.
Doğru soru soyutta "kendi barındırma mı yoksa matrix.org mu" değildir — "federasyon kimliğimin yönettiğim bir kutuda bağlı olmasını istiyor muyum" sorusudur. Yanıt evetse, bu sayfanın geri kalanı tarifidir.
~100 odalı bir topluluk homeserver'ı için (küçük DM'lerin ve dışarıya federe edilmiş birkaç kalabalık genel odanın karışımı), Ravelin (aylık 23,90 $, 8 vCPU, 16 GB, 480 GB NVMe) doğru katmandır. Synapse'ın Python veri yolu federasyon patlamalarında RAM açtır — 50 bin kullanıcıya sahip bir sunucunun katıldığı popüler bir oda, başlık alanı isteyen geçici bir durum çözümleme sıçraması üretir. 16 GB bunu rahatça emer.
~1000 aktif odanın ötesinde ya da federasyon trafiği Synapse'ı parçalı worker moduna ihtiyaç duyar hale getirdiğinde, Bulwark katmanı size adanmış federation_sender, synchrotron ve event_persister worker'larını çalıştıracak çekirdekleri sunar — tek bir kutuda Synapse'ın yatay ölçekleme hikâyesi. Bu noktada Postgres'in kendi VPS'inde olması gerekip gerekmediğini de düşünmek istersiniz; iki kutulu bir düzeni konuşabiliriz.
Kişisel homeserver için — hesabınız, birkaç DM, birkaç küçük özel oda — Garrison (aylık 11,90 $, 4 vCPU, 8 GB, 240 GB NVMe) yeterlidir. Tek kullanıcılı kurulum için Sentinel üzerinde Conduit teknik olarak mümkündür, ancak Garrison üzerinde Synapse size göç etmeden büyüme alanı tanır.
Bunların hiçbirinin olmadığı şey: binlerce kiracılı yönetilen Matrix hizmeti. NordBastion, kendi homeserver'ını tanıdığı kişiler için çalıştıran operatör için inşa edilmiştir — yabancılara Matrix hesabı satmak için değil.
Genel bir iskelet; yukarı yönlü element-hq Synapse belgeleri, homeserver.yaml ayarı ve çalışan modu için yetkili referans olmaya devam etmektedir.
Resmi Docker motoru + Compose v2 eklentisi. Element-HQ, etikete göre sabitleyebileceğiniz bakımlı bir Synapse görüntüsü yayımlar.
curl -fsSL get.docker.com \
| sh
apt install \
docker-compose-pluginSynapse görüntüsünün tek seferlik "generate" modu, server_name'inize bağlı bir başlangıç yapılandırması yazar. Aynı seferde açık kayıt özelliğini devre dışı bırakın.
docker run --rm \
-v ./data:/data \
-e SYNAPSE_SERVER_NAME=example.org \
matrixdotorg/synapse:latest \
generatePostgres üretim deposudur; SQLite yalnızca test içindir. Redis, tek süreçle başlasanız bile çalışan havuzu için gereklidir.
# docker-compose.yml dosyasına eklepostgres: postgres:15
redis: redis:7-alpine
# ardından homeserver.yaml dosyasında: database driver psycopg2Apex alan adınızdaki /.well-known/matrix/{client,server} konumunda iki küçük JSON dosyası. application/json türünde, CORS Access-Control-Allow-Origin: * başlığıyla sunulur.
# /.well-known/matrix/server
{"m.server": "matrix.example.org:443"}
# /.well-known/matrix/client
{"m.homeserver":{"base_url":"https://matrix.example.org"}}federationtester.matrix.org; well-known, sertifika zinciri, TLS el sıkışması, sürüm el sıkışması ve anahtar değişimini kontrol eder. Yeşile dönene kadar kullanıcıları davet etmeyin.
# server_name değerini buraya yapıştırın:# federationtester.matrix.org
# tüm kontroller yeşil olmalıhomeserver.yaml dosyasındaki registration_shared_secret + register_new_matrix_user CLI = herkese açık kaydı hiç açmadan bir yönetici hesabı.
docker compose exec synapse \
register_new_matrix_user \
-a -c /data/homeserver.yaml \
http://localhost:8008Uçtan uca şifreleme güçlü bir iddiadır. Relay'in host'u, faturalandırma tarafındaki KYC aracılığıyla bu homeserver'ı kimin kurduğunu tam olarak bildiği anda bu iddia sarsılır. Yalnızca kripto faturalama ile KYC'siz kayıt, relay'in yönetim meta verilerini relay'in payload meta verileri kadar opak tutar: "bu e-postanın arkasındaki ön ödemeli bakiye", hikâye biter.
Matrix'in uçtan uca şifrelemesi, relay'in yükleri okumasını aritmetik olarak zaten önlemektedir. Nordic yargı yetkisi ikinci bir katman ekler: barındırıcıyı bağlantı meta verilerini kaydetmeye zorlayan veri saklama zorunluluğu yok, hayata geçirilmiş istemci tarafı tarama mevzuatı yok ve birinin matematiği değiştirmeye çalışması halinde ne olacağını açıklayan yayınlanmış bir warrant canary (biz yapamayız). İki kez "hayır" demek, bir kereden iyidir.
Birkaç kalabalık genel odada federe bir ev sunucusu, çok sayıda küçük federasyon olayı gönderir; her katılım, her durum değişikliği, her mesaj alındısı N sunucuya dağıtım anlamına gelir. Toplam devasa değildir, ancak süreklidir ve GB çıkışı üzerinden faturalandırma yapan her barındırıcı operatörü gergin eder. Sınırsız uplink, bilişsel yükü ortadan kaldırır: protokolün gerektirdiği kadar federe edin; fatura aynıdır.
Matrix homeserver'ı kendi barındırmak, küçük bir grubun mesajlaşması için yapabileceği en temiz egemenlik hamlelerinden biridir. Tek bir SaaS sohbet aracı lisansının fiyatına, herhangi bir platformdan daha uzun ömürlü kullanıcı adlarına sahip, moderasyonu sizin elinizde olan ve barındırması ne veri saklama zorunluluğu ne de müşteri tarafı tarama mevzuatı olan bir yargı bölgesinde gerçekleştirilen federe, uçtan uca şifreli bir homeserver elde edersiniz.
NordBastion bu özel iş için önemli olan kısımlar konusunda güçlü görüşlere sahiptir — KYC-siz yönetici kaydı, Nordic yargı bölgesi, ölçümsüz bağlantı — ve geri kalanı için kasıtlı olarak sıradan. Docker, Docker'dır. Synapse, Synapse'dir. Element-HQ imajı gönderir; biz kutuyu göndeririz.
Bir akşam ayırın, altı adımı takip edin, federasyon test aracıyla doğrulayın, yönetici hesabını oluşturun. Ev sunucu, o akşamı yıllarca geride bırakır.
Matrix yöneticilerinin docker compose up öncesinde gerçekten boğuştuğu sekiz soru. Well-known yetkilendirmesinin ikinci soru olmasının bir nedeni var.
Çünkü sunucu tek bir makinedir ve mesajlar sonsuza kadar yaşar. Disk erişimi olan herkes — bir anlık görüntü kazası, bir adli tıp imajı, başına buyruk giden bir yardımcı yönetici, kutuyu sonunda devrettiğinizde bir halef — oda şifrelenmemişse düz metni görür. Uçtan uca şifreleme, homeserver'ı kullanışlı tutar (röleleme yapar, federasyon yapar, arayüzü sunar) ve mesaj yükünü katılımcının aygıt anahtarları dışında her şey için aritmetik olarak okunamaz hale getirir. Kendi başına barındırma ve E2E kemer + askıdır: röleyi siz kontrol edersiniz VE röle kendi trafiğini okuyamaz.
Matrix, https://example.org/.well-known/matrix/client ve /.well-known/matrix/server adreslerinde iki küçük JSON dosyası sunarak kullanıcıya dönük alanınızın (example.org) sunucuya dönük alanınızdan (matrix.example.org) farklı olmasına izin verir. Client olanı Element'e hangi homeserver URL'sini kullanacağını söyler; server olanı federe eden eşlere s2s API için Synapse'a nereden ulaşacaklarını söyler. İnsanlar üç şeye takılır: dosyaları yanlış Content-Type ile sunmak, CORS'un diğer örneklerin onları getirmesine izin vermemesi veya server dosyasının güvenlik duvarının gerçekte sunmadığı bir bağlantı noktasına işaret etmesi. Odayı yayımlamadan önce federationtester.matrix.org ile doğrulayın.
Synapse (Python, referans uygulama), halka açık homeserver'ların %95'inin çalıştırdığı şeydir; en çok test edilmiş federasyon eşidir ve spec'in tanımladığı her özelliği destekleyen tek olandır. Conduit (Rust, tek ikili dosya, RocksDB) ve Dendrite (Go, mikroservisler) daha hafiftir — Conduit ünlü olarak Raspberry Pi üzerinde çalışır. Üzerinde kullanıcıları olan halka dönük federe bir homeserver için cevap Synapse'tır; hobi tek kullanıcılı sunucu için bir Sentinel üzerinde Conduit ile deney yapabilirsiniz. Bu başyazı Synapse'ı varsayar.
homeserver.yaml'da enable_registration: false ayarlayın ve gerçekten istediğiniz kişiler için yönetici API aracılığıyla hesap oluşturmak için registration_shared_secret'a güvenin. Alternatif olarak, enable_registration_without_verification: false ile sabit kodlanmış paylaşılan-sır davet akışını birleştirin. Matrix federasyonu, açık kayıtlı herhangi bir homeserver'ın günler içinde bir spambot hesap çiftliği haline geleceği kadar büyüktür; kanonik cevap "kayıt yönetici tarafından düzenlenmiştir, federasyon açıktır".
Hayır; Matrix C-S API protokol sözleşmesidir ve uyumlu her istemci uyumlu her sunucuyla konuşur. Element varsayılan ve en iyi test edilmiş oldu; Cinny, bazı kendi barındırıcıların birlikte sunmayı tercih ettiği daha hafif bir web istemcisidir; SchildiChat, Telegram tarzı kullanıcı arayüzüne sahip bir Element çatallamasıdır; FluffyChat önce mobili hedefler. Homeserver, kullanıcının hangi istemciyi kullandığını görmez veya umursamaz. Topluluğunuzun tercih ettiğini seçin, daha sonra değiştirin, göç işlemi gerektirmez.
Her Matrix kullanıcısının bir dizi cihaz anahtarı (cihaz başına, geçici) ve bir çapraz imzalama anahtarı (hesap başına, uzun ömürlü) vardır. Çapraz imzalama ana anahtarı, kullanıcının her şeyi yeniden doğrulamadan yeni bir cihaz eklemesini sağlar; onu kaybetmek, kullanıcının yeniden anahtar oluşturana kadar geçmiş E2E mesajlarından kilitlenmesine yol açar. Element'in "Güvenli Yedekleme" özelliği çapraz imzalama anahtarını bir parola veya kurtarma anahtarıyla şifreler ve sunucu tarafında opak şifreli metin olarak depolar — homeserver blobu tutar ancak okuyamaz. Kayıt sırasında kullanıcılarınız için kurtarma anahtarı adımını belgeleyin; önlenebilir kilitlemeleri önleyen tek UX öğesi budur.
Doğrudan değil — odalar federe nesnelerdir, sunucu başına kayıtlar değil; dolayısıyla bir odayı "taşımak", onu yükseltmek (bir ardıl oda oluşturan ve eskisini yönlendirmeyle sabitleyen Matrix'e özgü bir ilkel) ve aynı katılımcı grubunu davet etmek anlamına gelir. Oda kimliği değişir, takma ad takip edebilir. Homeserver'lar arasında doğrudan kullanıcı hesabı taşıma, uzun süredir devam eden bir Matrix dilek listesi maddesidir (hesap taşınabilirliği teknik yol haritasındadır); bugün sunucunuzda yeni bir hesap oluşturup insanlardan sizi yeniden eklemelerini istersiniz.
Matrix, oda başına moderasyon temel yapılarına (atma, yasaklama, geri alma, oda yöneticileri) ve sunucu başına moderasyon temel yapılarına (Synapse modül API'si üzerinden reddedilenler listesi, yönetilen reddedilenler listeleri için MJOLNIR botu, yalnızca davetli federasyon için sunucu düzeyinde izin verilenler listesi modu) sahiptir. Topluluk homeserver'ı için MJOLNIR tarzı reddedilenler listesi aboneliği standart yanıttır; spam/kötüye kullanım tespitini sürdürülen reddedilenler listesi topluluklarına devreder ve politikayı yerel olarak uygularsınız. Egemenliğiniz: hangi reddedilenler listelerini takip edeceğinize siz karar verirsiniz.
Federe mikroblog — kardeş federasyon protokolü; aynı operatör deseni, farklı yüzey alanı.
Sentinel üzerinde çekirdek hızında VPN çıkışı — kendi tüneli üzerinden SSH ile bağlanmak isteyen homeserver yöneticisi için.
Nordic bant genişliğini Tor ağına bağışlayın — aynı operatörün rafındaki uçtan uca şifreli homeserver'ın doğal komşusu.