تشغيل أي مهارة في Manus بنقرة واحدة

$pwd:

tokenkey-stage0-edge-lightsail-ip-rotation

Name: Tokenkey Stage0 Edge Lightsail Ip Rotation
Author: youxuanxue

// Rotate the egress Static IP of a TokenKey Stage0 Lightsail Edge (uk1-ls / us1-ls / fra1-ls / sg1-ls) when the live IP has been risk-blocked ("polluted") by Anthropic / OpenAI / Google. Mirrors the EC2 EIP rotation posture: a single primitive (ops/lightsail/rotate-static-ip.sh) swaps the Static IP, the operator updates Porkbun DNS, and external verification runs from a clean-egress host. No CloudFormation drift step because Lightsail Edge is not CloudFormation-owned.

تشغيل في Manus

$ git log --oneline --stat

stars:٢

forks:٠

updated:٢٣ مايو ٢٠٢٦ في ٢٣:٢٥

SKILL.md

readonly

name

tokenkey-stage0-edge-lightsail-ip-rotation

description

Rotate the egress Static IP of a TokenKey Stage0 Lightsail Edge (uk1-ls / us1-ls / fra1-ls / sg1-ls) when the live IP has been risk-blocked ("polluted") by Anthropic / OpenAI / Google. Mirrors the EC2 EIP rotation posture: a single primitive (ops/lightsail/rotate-static-ip.sh) swaps the Static IP, the operator updates Porkbun DNS, and external verification runs from a clean-egress host. No CloudFormation drift step because Lightsail Edge is not CloudFormation-owned.

TokenKey：Lightsail Edge 静态 IP 轮换（污染快速恢复）

适用于通过 deploy-edge-lightsail-stage0.yml 部署的 Lightsail Edge（与 EC2 EIP 路径不通用）。 EC2 路径见 tokenkey-stage0-edge-ip-rotation。Lightsail 路径没有 CloudFormation，所以没有 drift IMPORT 这一节。

确定性基线

步骤	类型	承载
解析 edge → region / instance / static IP name / domain	机械	`ops/lightsail/rotate-static-ip.sh`（jq 读 `edge-targets-lightsail.json`）
计划输出（dry run）	机械	同上脚本默认行为（无 `--apply`）
三步 swap（allocate → detach → attach → release）	机械	同上脚本 `--apply`
把 ssm_prefix/public_ip 改成新 IP	机械	同上脚本
Porkbun DNS A 记录更新	真判断	prompt（人工操作 Porkbun）
外部干净出口验证	真判断	prompt（选择哪个 observation host 取决于运营当时态势）

调用参数

/tokenkey-stage0-edge-lightsail-ip-rotation edge_id=<id> [step=plan|swap|verify|all]

step=plan（默认）— ops/lightsail/rotate-static-ip.sh <edge_id> 打印计划，无 AWS 变更。
step=swap — ops/lightsail/rotate-static-ip.sh <edge_id> --apply，销毁旧 IP。
step=verify — 用上一步产生的 new_ip 做 SNI 验证 + smoke。
step=all — 串起 plan → 等用户确认 → swap → 提示 DNS → verify。

0) 前置

git fetch origin main && git checkout main && git pull --ff-only
bash scripts/preflight.sh
aws sts get-caller-identity   # 确认目标账户

确认 edge 已经在 deploy/aws/lightsail/edge-targets-lightsail.json 里 deployable=true，且 ssm_prefix/public_ip 与 aws lightsail get-static-ip 报告的 ipAddress 一致；不一致先用 aws ssm put-parameter 把 SSM 修对，再开始轮换。

1) Plan

bash ops/lightsail/rotate-static-ip.sh <edge_id>

输出形如：

=== Lightsail Edge IP rotation plan ===
edge_id           : uk1
lightsail_region  : eu-west-2
instance_name     : tokenkey-edge-uk1-ls
domain            : api-uk1.tokenkey.dev
old_static_ip_name: tokenkey-edge-uk1-ls-ip
old_ip            : 18.x.x.x
new_static_ip_name: tokenkey-edge-uk1-ls-ip-rot-<ts>
ssm_prefix        : /tokenkey/lightsail/uk1

用户确认 old_ip 确实被污染，再进入 swap。

2) Swap

bash ops/lightsail/rotate-static-ip.sh <edge_id> --apply

脚本顺序：

aws lightsail allocate-static-ip 新名字
aws lightsail detach-static-ip 旧名字
aws lightsail attach-static-ip 新名字到 instance
aws lightsail get-static-ip 读出 NEW ip
aws ssm put-parameter 写 ${ssm_prefix}/public_ip = <new_ip>
aws lightsail release-static-ip 旧名字（该 IP 进入 AWS pool）

输出最后会打印 NEW ip 和 DNS / smoke 提示。

同账户 IP 池注意：Lightsail 在同账户同 region 复用 IP 池，新分配的 IP 极少撞回相同的旧 IP，但概率不是零。如果 NEW ip 仍被污染，重跑一次 swap 即可（旧 IP 已 release，不会回收到自己手里）。

3) DNS

去 Porkbun 把 api-<edge_id>.tokenkey.dev 的 A 记录改成 NEW ip。等 1 分钟。

4) Verify（独立观察点）

不要用刚改 DNS 的本地，去 tk_post_deploy_smoke.sh 或者任意干净出口：

curl -sS --resolve api-<edge_id>.tokenkey.dev:443:<new_ip> \
  https://api-<edge_id>.tokenkey.dev/health

应当 200。然后跑一次 workflow smoke：

gh workflow run deploy-edge-lightsail-stage0.yml \
  -f edge_id=<edge_id> -f operation=smoke \
  -f confirm_instance=tokenkey-edge-<edge_id>-ls
gh run watch --exit-status $(gh run list -w deploy-edge-lightsail-stage0.yml -L 1 --json databaseId -q '.[0].databaseId')

最后用 tokenkey-online-traffic-profile 或 tokenkey-online-log-troubleshooting 看 5 分钟内 Anthropic upstream 是否回到正常 2xx 比例。

5) Acceptance（机械化输出）

edge_id : <id>
old_ip  : <old_ip>
new_ip  : <new_ip>
domain  : api-<id>.tokenkey.dev
verify  : curl <new_ip>:443 → 200; smoke run → green

6) 失败模式

现象	解读	应对
`allocate-static-ip` 报 `ServiceQuotaExceededException`	该 region 还有未释放的 Static IP（默认 quota=5）	`aws lightsail get-static-ips` 看清单，释放无主的
`attach-static-ip` 报 `OperationFailureException`	instance 处于非 `running` 状态	`aws lightsail get-instance` 查 state，等到 `running` 再重试
切完 NEW ip 仍被污染	撞回同 region 老 IP，或同 ASN 被整段封	立刻重跑一次 swap；如再次撞回考虑跨 region 增设新 edge
DNS 没改但 smoke 通过	漏掉 verify 的 `--resolve`	必须显式 `--resolve` 强制 SNI 到新 IP

related-skills.json

نفس المستودع

tokenkey-stage0-edge-lightsail-expansion.md

from "youxuanxue/sub2api"

End-to-end runbook for adding a TokenKey Stage0 Edge gateway on AWS Lightsail (parallel to the EC2/CFN path): register the edge in deploy/aws/lightsail/edge-targets-lightsail.json, ensure the one-time Lightsail IAM addon + GHCR PAT are in place, provision via deploy-edge-lightsail-stage0.yml, point DNS, smoke, and upgrade/rollback. EC2/CFN remains the default Edge path; this skill covers the Lightsail parallel path only.

2026-05-232

tokenkey-stage0-edge-ip-rotation.md

from "youxuanxue/sub2api"

Rotate / replace the egress Elastic IP of a TokenKey Stage0 edge (uk1/us1/sg1/fra1/…) when the live IP has been risk-blocked ("polluted") by an upstream API (Anthropic / OpenAI / Google). Drives the single canonical path: a workflow_dispatch of deploy-edge-stage0.yml with operation=rotate_egress_ip, which does a CFN-native UpdateStack — no detach, no IMPORT, no drift class. Auto-allocates a clean candidate (checked against edge-polluted-ips.json), swaps via CFN, verifies SSM Online + outbound IP + Anthropic/OpenAI/Google pollution probe from the edge itself, and auto-reverts on a polluted result. The only operator step that remains is the DNS A-record update at Porkbun (and committing the retired IP into edge-polluted-ips.json).

2026-05-232

tokenkey-anthropic-oauth-config.md

from "youxuanxue/sub2api"

TokenKey Anthropic 配置写入流水线（snapshot → check → plan → apply → verify）。 **三条写入面**，都由同一个脚本 ops/anthropic/manage-anthropic-config.py 编排，且都 "JSON 派生 SQL、无静态模板、operator 不写 SQL"： (A) edge anthropic OAuth account 的 tier baseline（concurrency / base_rpm / sticky_buffer / max_sessions 等 account 字段）—— 来源 anthropic-oauth-stability-baselines-tiered.json；同一事务把 users.id=1 的 concurrency 更新为该 edge 库内 schedulable=true 的 anthropic 账号 concurrency 之和。 (B) prod anthropic api-key 镜像 stub（base_url=api-*.tokenkey.dev 形状）的 credentials.pool_mode + pool_mode_retry_count —— 来源 anthropic-stub-pool-baselines.json。 (C) prod stub concurrency 镜像（plan-concurrency-mirror）：把 edge users.id=1 与对应 prod stub.concurrency 与 prod users.id=1 都对齐为「Σ schedulable=true anthropic concurrency」的四跳级联——值从 live 派生，不引入新 baseline JSON；stub↔edge 链接按 edge-targets.json 的 domain 字段稳定匹配，不推断。 group.rpm_limit 不由本流水线写——admin UI 直接独立设置。

2026-05-232

tokenkey-anthropic-oauth-priority-by-window.md

from "youxuanxue/sub2api"

TokenKey 跨所有 deployable edge 的 Anthropic OAuth 账号 priority 重排流水线（snapshot → plan → apply → verify）。按账号当前 5h/7d 可用用量窗口剩余度打分，同 stability tier 内重排 priority（smaller wins），剩余越多 priority 越小（越优先调度）。**只写** accounts.priority 一个字段，不动 tier baseline、不动 group.rpm_limit、不动 credentials。单一脚本 ops/anthropic/rebalance-anthropic-priority.py 编排，1 个 SQL 模板固化写入。

2026-05-232

tokenkey-online-log-troubleshooting.md

from "youxuanxue/sub2api"

Read-only TokenKey production/edge troubleshooting workflow for querying live logs, ops_error_logs, Docker containers, SSM targets, CI/deploy runs, and turning evidence into a stable root-cause summary without ad-hoc command guessing.

2026-05-232

tokenkey-online-traffic-profile.md

from "youxuanxue/sub2api"

Read-only TokenKey production/edge traffic-profiling workflow. Reconstructs per-minute request-traffic series for the past N hours per account — base RPM (request-start minute), sticky vs non-sticky (load-balance) RPM split, active sessions (idle-window), and peak concurrency — then compares each against its cap (base_rpm / rpm_sticky_buffer / max_sessions / concurrency) and flags which limit is being touched. Use when asked to profile online traffic, see per-minute RPM/session/concurrency, validate the admin account-card gauges (concurrency 1/8, $/window cost, sessions 16/30, RPM 3/28), or explain "no available accounts" / throttling without ad-hoc command guessing.

2026-05-232

package.json

"author": "youxuanxue"

"repository": "youxuanxue/sub2api"

فتح مستودع GitHub عرض مستودعات المنشئ

$ install --global

$ download --local

تشغيل في Manus

$ useful --forSOC

مديرو الشبكات وأنظمة الحاسوبمهن الحاسوب والرياضيات15-1244L4

name

tokenkey-stage0-edge-lightsail-ip-rotation

description

TokenKey：Lightsail Edge 静态 IP 轮换（污染快速恢复）

确定性基线

步骤	类型	承载
解析 edge → region / instance / static IP name / domain	机械	`ops/lightsail/rotate-static-ip.sh`（jq 读 `edge-targets-lightsail.json`）
计划输出（dry run）	机械	同上脚本默认行为（无 `--apply`）
三步 swap（allocate → detach → attach → release）	机械	同上脚本 `--apply`
把 ssm_prefix/public_ip 改成新 IP	机械	同上脚本
Porkbun DNS A 记录更新	真判断	prompt（人工操作 Porkbun）
外部干净出口验证	真判断	prompt（选择哪个 observation host 取决于运营当时态势）

调用参数

/tokenkey-stage0-edge-lightsail-ip-rotation edge_id=<id> [step=plan|swap|verify|all]

step=plan（默认）— ops/lightsail/rotate-static-ip.sh <edge_id> 打印计划，无 AWS 变更。
step=swap — ops/lightsail/rotate-static-ip.sh <edge_id> --apply，销毁旧 IP。
step=verify — 用上一步产生的 new_ip 做 SNI 验证 + smoke。
step=all — 串起 plan → 等用户确认 → swap → 提示 DNS → verify。

0) 前置

git fetch origin main && git checkout main && git pull --ff-only
bash scripts/preflight.sh
aws sts get-caller-identity   # 确认目标账户

1) Plan

bash ops/lightsail/rotate-static-ip.sh <edge_id>

输出形如：

=== Lightsail Edge IP rotation plan ===
edge_id           : uk1
lightsail_region  : eu-west-2
instance_name     : tokenkey-edge-uk1-ls
domain            : api-uk1.tokenkey.dev
old_static_ip_name: tokenkey-edge-uk1-ls-ip
old_ip            : 18.x.x.x
new_static_ip_name: tokenkey-edge-uk1-ls-ip-rot-<ts>
ssm_prefix        : /tokenkey/lightsail/uk1

用户确认 old_ip 确实被污染，再进入 swap。

2) Swap

bash ops/lightsail/rotate-static-ip.sh <edge_id> --apply

脚本顺序：

aws lightsail allocate-static-ip 新名字
aws lightsail detach-static-ip 旧名字
aws lightsail attach-static-ip 新名字到 instance
aws lightsail get-static-ip 读出 NEW ip
aws ssm put-parameter 写 ${ssm_prefix}/public_ip = <new_ip>
aws lightsail release-static-ip 旧名字（该 IP 进入 AWS pool）

输出最后会打印 NEW ip 和 DNS / smoke 提示。

同账户 IP 池注意：Lightsail 在同账户同 region 复用 IP 池，新分配的 IP 极少撞回相同的旧 IP，但概率不是零。如果 NEW ip 仍被污染，重跑一次 swap 即可（旧 IP 已 release，不会回收到自己手里）。

3) DNS

去 Porkbun 把 api-<edge_id>.tokenkey.dev 的 A 记录改成 NEW ip。等 1 分钟。

4) Verify（独立观察点）

不要用刚改 DNS 的本地，去 tk_post_deploy_smoke.sh 或者任意干净出口：

curl -sS --resolve api-<edge_id>.tokenkey.dev:443:<new_ip> \
  https://api-<edge_id>.tokenkey.dev/health

应当 200。然后跑一次 workflow smoke：

gh workflow run deploy-edge-lightsail-stage0.yml \
  -f edge_id=<edge_id> -f operation=smoke \
  -f confirm_instance=tokenkey-edge-<edge_id>-ls
gh run watch --exit-status $(gh run list -w deploy-edge-lightsail-stage0.yml -L 1 --json databaseId -q '.[0].databaseId')

最后用 tokenkey-online-traffic-profile 或 tokenkey-online-log-troubleshooting 看 5 分钟内 Anthropic upstream 是否回到正常 2xx 比例。

5) Acceptance（机械化输出）

edge_id : <id>
old_ip  : <old_ip>
new_ip  : <new_ip>
domain  : api-<id>.tokenkey.dev
verify  : curl <new_ip>:443 → 200; smoke run → green

6) 失败模式

现象	解读	应对
`allocate-static-ip` 报 `ServiceQuotaExceededException`	该 region 还有未释放的 Static IP（默认 quota=5）	`aws lightsail get-static-ips` 看清单，释放无主的
`attach-static-ip` 报 `OperationFailureException`	instance 处于非 `running` 状态	`aws lightsail get-instance` 查 state，等到 `running` 再重试
切完 NEW ip 仍被污染	撞回同 region 老 IP，或同 ASN 被整段封	立刻重跑一次 swap；如再次撞回考虑跨 region 增设新 edge
DNS 没改但 smoke 通过	漏掉 verify 的 `--resolve`	必须显式 `--resolve` 强制 SNI 到新 IP

tokenkey-stage0-edge-lightsail-ip-rotation

TokenKey：Lightsail Edge 静态 IP 轮换（污染快速恢复）

确定性基线

调用参数

0) 前置

1) Plan

2) Swap

3) DNS

4) Verify（独立观察点）

5) Acceptance（机械化输出）

6) 失败模式

المزيد من هذا المستودع

المزيد من هذا المستودع

TokenKey：Lightsail Edge 静态 IP 轮换（污染快速恢复）

确定性基线

调用参数

0) 前置

1) Plan

2) Swap

3) DNS

4) Verify（独立观察点）

5) Acceptance（机械化输出）

6) 失败模式