Famulus-Domus(内部代号 ZT-Edge-v3)
Famulus-Domus 是 esphome.cloud 产品矩阵里的生态节点:一条零信任
IoT 边缘平台产品线。在仓库内部一直叫 ZT-Edge-v3,事实标准 PRD
位于 aegis/.prd/ZT-Edge-v3/(overview.md 约 2200 行)。这一页
是面向手册读者的入门简介,不替代 PRD。
当前状态:Preview。 v3.0 目标 2026-Q4 发布核心(Phase 0–6 + 11–13 MVP);v3.1 目标 2027-Q2 发布完整功能。可以读 PRD,但还 不建议拿去做生产部署。
一句话定位
把 mTLS + SPIFFE + sidecar 跑在一台 ESP32 上,让消费智能家居和 工业 OT 用同一张零信任地图。
它合并自两份独立做扎实的 PRD:Aegis ZT-Edge v2(合规链路 + ZT
纵深扎实,但数据模型薄、协议覆盖只有 WiFi mesh)和 rshome-device-link v2
(强类型数据模型 + 协议广度,但安全推到后期、合规为零)。合并掉了
两边各自的战略风险 —— rshome 不再是「HA 的 Rust 克隆」,Aegis 不再是
「WiFi-mesh 专用 ZT 产品」。
不是什么
| 容易混的东西 | 关系 |
|---|---|
| Home Assistant | 精神前身,刻意超越 HA 的扁平 Entity/Domain/Feature 模型。装机用户也不同 —— 面向声明式 + GitOps 的家庭,而非 UI 中心家庭用户。 |
| ZTNA(Zscaler / Cloudflare Access) | 不是。本产品不走云交付。 |
| 工业 SCADA | 不是。不承担 PLC 硬实时控制(软实时 ≤ 100ms 可做)。 |
| 单一协议桥(zigbee2mqtt / ESPHome) | 不是 —— 那些作为适配器被吞并(L2)。 |
| SaaS | 不是。部署是自建,本地优先,LAN-first。 |
它解决什么问题
每一行单独有人在做,合起来没人做:
- 完整协议谱:IP 到非 IP(Zigbee / Z-Wave / BLE / Thread / Modbus)
- 强类型能力契约:DTDL v3 风格 Interface + Twin shadow
- Zero Trust 纵深:mTLS + SPIFFE + Rego policy + CAEP + MFA
- 三档硬件目标:ESP32-S3 → OpenWRT/Pi4 → x86 mini PC,同一份代码
- 双合规栈:中国(等保 L2/L3 + 密评 + 国密)与国际(NIST 800-207 + CISA ZTMM)
- 自持 Matter fabric root:家庭数据主权
- 外部暴露:WoT Thing Description 1.1 + MCP 同时发布
同一代码库,双市场
v3.0 的战略决策:同一套代码 / 同一组 ADR,差在 wizard 模板。 拆成两个产品会造成 70% 代码重复 + 双倍运维。
| 维度 | 消费级智能家居 | 工业 OT / 合规 |
|---|---|---|
| 典型用户 | HomeLab 玩家、Matter 设备所有者、WASM 集成作者、AI Agent 使用者 | 小型商业空间、中国信创政企、OT 工程师、合规审计员 |
| 核心需求 | 数据主权、本地优先、多协议互操作、Matter fabric 自持、GitOps | 等保 L2/L3、密评、协议感知策略(Modbus/MQTT/CoAP)、双人控制、审计链完整 |
compliance_mode | none | dengbao_l3 / gm_cert_mp |
crypto_suite | international_default | gm_rfc8998 / gm_tlcp_38636 |
| 典型硬件 | Tier-M(Pi4 / OrangePi5) | Tier-L(x86 mini PC) |
| 加载的适配器 | Matter / Zigbee / Z-Wave / HAP Bridge | Modbus / BACnet 协议感知 L4 |
共用的技术底座:bastion 控制面、Policy 引擎、Audit 链、Tier-S/M/L 硬件分档、 CAEP 联邦、MCP 北向、SPIFFE+DTMI 身份。
GTM 分开(销售渠道、定价、SLA、支持合同),技术上不分。
十层架构
L10 外部 Agent / LLM / Cloud Federation
MCP(DPoP+mTLS) / CAEP 订阅 / NGSI-LD / Grafana / HAP / Apple
L9 北向网关(MCP server + clawroom + auth middleware)
L8 授权 & 策略(Rego PEP + 策略输入 schema v1 + data_class)
L7 语义 & 拓扑(SAREF + Brick + QUDT 子集 / Space 嵌套 / Relationship)
L6 外部暴露(WoT TD 1.1 自动生成 / HAP Bridge / Matter Bridge)
L5 能力接口 & 孪生(DTDL v3 子集 Interface / Twin reported/desired/delta)
L4 设备抽象(Thing / Endpoint / PartsList / DeviceType / Matter 骨架)
L3 身份 & 信任(每 Thing x509 cert + SPIFFE ID + Matter NOC + CAEP)
L2 协议适配器(Matter / ESPHome / Zigbee / Modbus / MQTT / BLE)
L1 传输底座(ESP-WIFI-Mesh / WiFi / Thread / Ethernet / Serial)
+ Phase 3.5 time-before-trust 同步
PRD 全章节走向见 aegis/.prd/ZT-Edge-v3/overview.md §F。每一层都有
对应的 phase doc(phases/phase-N-*.md)和 governance 资产(ADR、
threat model、risk register)。
数据模型(L4 / L5)
废掉 HA 的「Entity + domain + features」袋子模型,换成 Azure DTDL v3 子集 + Matter 节点模型:
| 概念 | 是什么 | 标识 |
|---|---|---|
| Thing | 物理设备 / 桥后子设备 | urn:rshome:thing:<uuid-v7> |
| Endpoint | Thing 内的功能端点(Matter ep_id) | ep_id: u16 |
| InterfaceDefinition | 强类型能力契约(DTDL v3 子集) | dtmi:rshome:cap:OnOff;1 |
| Twin | reported / desired / delta 三孪生 | per (ThingId, ep_id) |
| Space | 物理空间(Site/Building/Storey/Room) | urn:rshome:space:<uuid> |
| Relationship | LocatedIn / HasPart / Feeds / ControlledBy | 显式边 |
extends 规则(ADR-022):新版本(;1→;2)只能追加 Optional 字段;
破坏性变更必须新 DTMI,老的标 deprecated: true 保留 12 个月。
InterfaceDefinition schema 稳定性 SLO:≥24 个月不破坏。
硬件分层(Tier-S / Tier-M / Tier-L)
| 维度 | Tier-S | Tier-M | Tier-L |
|---|---|---|---|
| 参考硬件 | ESP32-S3 WROOM-1-N16R8 | RPi4 / Orange Pi 5 / OpenWRT mini PC | x86 mini PC(≥4C8G)/ RK3588 4GB+ |
| RAM | 512 KB SRAM + 8 MB PSRAM | 2 GB+ | 4 GB+ |
| 规模上限 | 100 Thing / 300 endpoint / 20 mTLS | 500 Thing / 2000 endpoint | 5000 Thing / 50 space |
| HA | 无 | 可选 active-passive 对 | 强制 + witness |
| 语义层 | SQLite triple 降级 | Oxigraph 完整 | Oxigraph + OWL 推理 |
| TSDB | 15 min 内存滚动 | 本地 TimescaleDB | 本地 + 外部 replica |
| WASM | wasmi | wasmtime | wasmtime + 多实例 |
| 合规 | 等保 L2 可,L3 需外部审计 | L2 直接,L3 可 | L2/L3 全覆盖 + 密评 |
bastion 完整形态在 Tier-S 上是 build.rs reject 的(ADR-036)——
想在 ESP32 上跑,只有三个 binary profile 可选:sidecar(per-device L4 mTLS)、
bastion-lite(ADR-046,LAN-only ≤50 设备 ESPHome-only)、
tier-s-hopper(WireGuard client + USB-NCM)。「纯 Tier-S 完整自治家庭」
不在销售矩阵内 —— Tier-S 永远是配角。
协议适配器生态(L2)
ESPHome 在 v3 里从主干降级为适配器之一,跟 Matter / Zigbee / MQTT / Modbus / BLE 并列。
| Crate | 状态 | Tier |
|---|---|---|
rshome-adapter-esphome | v3.0 GA | all |
rshome-adapter-matter | v3.0 GA(ADR-023) | all(Tier-S 裁剪版) |
rshome-adapter-mqtt-homie | v3.0 GA | all |
rshome-adapter-zigbee | v3.0 GA(zigpy / z2m 桥) | Tier-M/L primary |
rshome-adapter-modbus | v3.0 beta | Tier-M/L |
rshome-adapter-ble | v3.0 beta | Tier-M/L |
rshome-adapter-zwave | v3.1 | Tier-M/L |
rshome-adapter-knx | v3.1 | Tier-M/L |
rshome-adapter-matter-bridge | v3.0 GA(对外暴露) | all |
rshome-adapter-hap-bridge | v3.0 GA(对外暴露) | all |
mTLS 是强制的,不可选;ESPHome 适配器从 v1 起就要 noise_psk,
不是 Phase 7 后置。Zigbee 层不走 mTLS,但 hub ↔ coordinator(UART/SPI)
链路必须走 mimi-crypto 封装。
外部暴露(L6 / L9 / L10)
| 出口 | 给谁用 | 协议 |
|---|---|---|
| WoT TD 1.1 | 任何遵循 W3C WoT 的客户端 | .well-known/wot + mDNS _wot._tcp |
| HAP Bridge | Apple Home / HomeKit 用户 | Bonjour + HAP |
| Matter Bridge | 其他 Matter fabric | Aggregator Endpoint + Bridged Nodes |
MCP (rshome.*) | AI agent(Claude / OpenClaw / Aegis Agent) | mTLS + DPoP 双绑 |
| CAEP | 上下游联邦 IdP | 订阅 + 发布 |
| NGSI-LD | 欧盟数据空间 / 智慧城市 | Tier-L,v3.1 |
MCP 工具集走 rshome.* 前缀(修复 rshome v2 的 ha.* 命名冲突)——
rshome.things.list / introspect、rshome.twins.update_desired / observe、
rshome.workflows.run、rshome.policy.evaluate-dry-run、
rshome.approvals.pending / grant / deny(双人控制)等。工具数量
不固定,由能力模型自然导出。
合规
| 标准 | Tier 要求 | 状态 |
|---|---|---|
| 等保 2.0 L2 | Tier-M+ | 全覆盖 |
| 等保 2.0 L3 | Tier-M(可)/ Tier-L(直接) | 全覆盖 |
| 密评 GM/T 0054 | Tier-M+ + 国密 USB Key(SJJ1622) | 全覆盖 |
| NIST 800-207 | all | 全覆盖 |
| CISA ZTMM v2 | all | 全覆盖 |
| IEC 62443-3-3 SL-2 | Tier-M+ | 全覆盖 |
| FIPS 140-3 validation | — | v4 才考虑,v3.0 未 validated |
| 等保 L4 / 涉密 | — | 永不(NG6) |
Non-Goals(重要的反向声明)
- NG1 不是 ZTNA 产品
- NG2 不提供 SaaS 云托管
- NG3 不承担 PLC 硬实时(软实时 ≤ 100ms 可)
- NG4 不覆盖 TSN(时间敏感网络)
- NG5 v3.0 不支持多租户 / 多家庭(v4 联邦)
- NG6 不目标等保 L4 及以上
- NG7 不目标 FIPS 140-3 validation
- NG8 不追求 HA 的 UI 丰富度(声明式 + GitOps 为核心 UX)
- NG9 v3.0 不提供云聚合 / WAN 设备发现(LAN first)
- NG10 不强制 rshome 生成的固件使用 Aegis sidecar(sidecar 是可选构建 profile)
另见
aegis/.prd/ZT-Edge-v3/overview.md—— 2200 行规范 PRD(权威来源)aegis/.prd/ZT-Edge-v3/manifest.md—— PRD 包结构 + 持续阅读路径aegis/.prd/ZT-Edge-v3/governance/adr-index.md—— ADR-020..049 索引aegis/.prd/ZT-Edge-v3/phases/phase-*.md—— 每阶段实施细节- IoT 设备工具 —— rshome 设备 侧的领域分类;Famulus-Domus 是它的主机控制面 + 安全纵深
- 载具控制系统 —— Famulus-Domus 不覆盖的相邻域