Execute seu próprio gateway Label 309

Sim — você pode executar o próprio gateway. Um gateway Label 309 é o serviço de código aberto que gera cotações, faz upload, publica, confirma e indexa registros de Proof of Existence (prova de existência). Execute o seu e sua organização passa a ser a operadora: você financia as carteiras Cardano e de armazenamento, gerencia contas e chaves de API e publica registros padronizados sem depender do serviço hospedado da CardanoWall. Os registros que você ancora são idênticos aos de qualquer outra pessoa, porque é o padrão, e não a operadora, que define o formato.

Hospedar por conta própria não é o caminho fácil. É o caminho do controle. Este texto explica quando essa troca vale a pena, o que o gateway realmente executa e o que você assume ao executá-lo você mesmo.

Quando você deve executar o próprio gateway?

Execute o próprio gateway quando o controle operacional importa mais do que a conveniência.

Para a maioria dos usuários, o gateway hospedado da CardanoWall é a resposta certa. Ele é mais simples de começar, mais fácil de financiar e elimina por completo o trabalho de infraestrutura. Se você publica esporadicamente e não tem nenhuma razão de política para guardar as chaves você mesmo, pare por aqui — o caminho hospedado foi feito para você.

Algumas equipes, porém, precisam de um modelo diferente:

políticas rígidas de fornecedor e de residência de dados;
fluxos de trabalho regulados ou auditados;
publicação em alto volume;
arquivos internos de conformidade e sistemas de provas jurídicas;
infraestrutura de proveniência de IA e pipelines de provas em CI/CD;
produtos construídos sobre o Label 309 sob a própria marca;
controle direto sobre chaves, contas, financiamento e preços.

Para essas equipes, hospedar por conta própria permite que a organização seja dona de todo o pipeline em vez de roteá-lo por um terceiro.

O que o gateway realmente executa?

O gateway é dono de todo o pipeline de publicação e do estado de dinheiro, cadeia e armazenamento por trás dele. Ele é um único binário Rust mais o PostgreSQL, e cuida de:

criação de cotação e precificação;
upload de conteúdo ou texto cifrado para o armazenamento;
financiamento e contabilidade do armazenamento;
construção, submissão e acompanhamento de confirmação da transação Cardano;
tratamento de reorganizações e reembolsos automáticos quando uma publicação falha em definitivo;
o índice público de registros na cadeia;
saldos de conta e o livro-razão de saldos;
chaves de API, tokens de conta e o plano de controle da operadora;
webhooks e a trilha de auditoria.

Essa é a maquinaria por trás de um serviço de publicação confiável. O cliente continua dono da intenção voltada ao usuário e das chaves privadas; o gateway é dono da cadeia, do armazenamento, da precificação e da infraestrutura de contas. Essa divisão é deliberada — é a mesma fronteira quer seja a CardanoWall a executar o gateway, quer seja você.

O que você precisa para hospedar por conta própria?

No mínimo, a posse operacional de cinco coisas.

Uma implantação do gateway. O binário, sua configuração, um banco de dados Postgres, acesso à rede, logs, monitoramento e um caminho de atualização. O binário aplica suas próprias migrações de schema na inicialização e executa todo loop em segundo plano sob um único supervisor, de modo que um loop com falha interrompe o processo em vez de degradar silenciosamente.

Financiamento Cardano. O gateway precisa de uma carteira financiada para pagar as taxas de transação. Você não gerencia as saídas individuais de transação você mesmo — a carteira mantém um pequeno conjunto de saídas prontas e ajustadas para que cada publicação pague uma taxa exata em vez de uma estimativa. Você mantém essa carteira abastecida; o gateway faz o resto.

Financiamento de armazenamento. Se o seu gateway aceita uploads de arquivos ou de texto cifrado, ele precisa de um backend de armazenamento e dos fundos para guardar os bytes. Em produção, isso é o Arweave por meio de um empacotador Turbo, pago com créditos de armazenamento pré-pagos que você abastece a partir de uma carteira Arweave. Você também pode executar uma implantação somente de hash, sem armazenamento algum: os registros então carregam apenas o hash do conteúdo (e quaisquer URIs hospedadas externamente), e a instância não guarda nada.

Credenciais da operadora. O plano de controle é protegido por um segredo raiz de operadora, impresso exatamente uma vez quando você provisiona a instância. A administração do dia a dia roda sobre tokens de operadora de vida curta cunhados a partir dele. Esses segredos jamais podem chegar a um navegador, a um pacote cliente, a um aplicativo móvel ou a um log de CI.

Uma política de contas e cobrança. Mesmo que você seja o único usuário, o gateway ainda precisa decidir quem pode publicar e como os saldos são creditados. Os saldos são a autoridade do próprio gateway; você os credita pelo plano de controle a partir de qualquer trilho de cobrança que você opere.

Hospedar por conta própria é infraestrutura de verdade. Trate-a assim e ela é confiável; trate-a com descuido e ela vira um passivo.

Hospedar por conta própria muda o padrão?

Não. Um gateway auto-hospedado publica os mesmos registros Label 309 que qualquer outra operadora, e os registros permanecem padronizados.

Um verificador precisa apenas dos metadados da transação Cardano, opcionalmente dos bytes do conteúdo e de um explorador Cardano público. Ele não precisa saber — e não consegue dizer — se um registro veio do gateway hospedado da CardanoWall, do gateway da sua empresa ou do laptop de um desenvolvedor. É esse exatamente o sentido de separar o padrão aberto do produto hospedado: o artefato durável é o Label 309, e cada gateway é uma implementação derivada dele.

Hospedar por conta própria elimina todo o custo?

Não. Elimina a margem da operadora hospedada, mas os custos subjacentes continuam sendo seus.

Você ainda paga:

taxas de transação Cardano e custos de armazenamento de quaisquer bytes enviados;
custos de infraestrutura, banco de dados e backup;
monitoramento, logging e operações de segurança;
tempo de equipe, gestão de tesouraria e recuperação de falhas;
atualizações e manutenção contínua.

Se o seu volume é baixo, o gateway hospedado costuma ser mais barato na prática quando você contabiliza o custo humano de operar infraestrutura. (Para a mecânica de por que publicar custa dinheiro afinal, veja por que publicar tem um preço.) Se o seu volume é alto, ou se a política exige que você guarde as chaves, hospedar por conta própria começa a compensar.

Quem não deve hospedar por conta própria?

Não hospede por conta própria só para evitar pensar no preço.

Se você publica esporadicamente, não tem capacidade operacional, não quer gerenciar carteiras financiadas e não precisa de controle de política personalizado, o gateway hospedado é quase certamente a melhor escolha. Hospedar por conta própria coloca você no comando da disponibilidade, da segurança, do financiamento, do monitoramento e das atualizações — o que só é uma vantagem se você de fato quiser essa responsabilidade.

Para a maioria das pessoas e muitas equipes pequenas, a CardanoWall hospedada é o caminho prático.

Quem se encaixa bem em hospedar por conta própria?

Equipes que já operam infraestrutura séria e têm um motivo concreto para guardar o pipeline elas mesmas. Bons candidatos incluem:

empresas que publicam provas em alto volume;
equipes de conformidade que ancoram evidências diárias ou de hora em hora, idealmente agrupadas sob um único registro;
equipes de IA que registram manifestos de conjuntos de dados e de saídas;
equipes de DevSecOps que incorporam provas aos pipelines de lançamento;
plataformas jurídicas que lidam com provas sensíveis;
produtos que querem o Label 309 sob a própria marca;
organizações que não podem rotear fluxos de trabalho sensíveis por um serviço hospedado de terceiros.

Nesses casos, executar o gateway passa a fazer parte da postura de segurança e infraestrutura já existente na organização, em vez de ser mais uma coisa para cuidar.

Como um produto se constrói sobre um gateway?

Um produto pode tratar o gateway como sua camada de base. O gateway cuida da cadeia, do armazenamento, da precificação, dos saldos, dos registros e do status de publicação; o seu produto cuida de usuários, sessões, apresentação de cobrança, notificações, fluxo de trabalho, UI e significado específico do domínio.

Por exemplo:

um produto de conformidade publica instantâneos diários de controles;
um produto de mídia ancora hashes de manifestos de Content Credentials (C2PA);
um produto jurídico sela provas para destinatários específicos;
uma ferramenta de desenvolvedor publica provas de lançamento;
um produto de IA carimba no tempo lotes de saídas geradas.

O produto nunca reconstrói a submissão Cardano nem a contabilidade de armazenamento — ele chama o gateway. É exatamente assim que a CardanoWall é construída: o aplicativo web e o worker são um invólucro em torno dos mesmos planos públicos do gateway que um terceiro usa, sem porta privada. Se você quiser os padrões de integração em profundidade, veja construa sobre um gateway Label 309.

Como os clientes se conectam a um gateway?

Pela API HTTP do gateway, dividida em dois planos.

Um aplicativo web, um aplicativo desktop, uma CLI, uma integração de SDK ou um serviço de backend usa tokens de conta ou chaves de API para chamar o plano de dados: cotar, fazer upload, publicar, ler saldo, ler registros. As ações da operadora — criar contas, creditar saldos, definir margens, cunhar credenciais — passam pelo plano de controle, e somente a partir de um backend confiável.

A separação usual:

os clientes agem com credenciais de conta restritas e de vida curta;
o seu backend guarda as credenciais da operadora e nunca as expõe;
as chaves privadas de identidade ficam nos dispositivos dos usuários ou sob a sua própria política de chaves;
o gateway nunca decifra conteúdo selado.

Um padrão prático é o proxy de cunhagem de tokens: o cliente se autentica contra o seu próprio sistema de sessão, o seu backend troca essa sessão por um token de conta de vida curta restrito a exatamente o que a página precisa, e o cliente só chega a ver esse token. Um token vazado vira então um problema de uma hora, não um incidente. A superfície de leitura de registros é ainda mais simples — ela atende chamadas anônimas, então páginas públicas de verificação e exploradores não precisam de credencial nenhuma.

O que as operadoras devem proteger?

Várias coisas, mais ou menos nesta ordem de gravidade.

Chaves e credenciais. O gateway assina com um único keyring cifrado — chaves Cardano, de armazenamento e de webhook em um arquivo só sob uma única senha. Crie-o offline, mantenha um backup offline tanto do arquivo quanto da senha e proteja o segredo raiz da operadora como a senha de um banco de dados de produção. Não há caminho de exportação de chaves nem de varredura: perca o keyring e você deixa presos quaisquer fundos que estejam nos endereços dele.

Fundos e autoridade. Controle quem pode criar contas, emitir chaves de API, ajustar saldos e mudar margens. Toda ação do plano de controle é registrada em auditoria, e os ajustes de saldo têm um teto por chamada como limite de raio de explosão, de modo que uma entrada digitada errado ou um token comprometido pode mover apenas até certo ponto de cada vez.

Operações. Mantenha logs e uma trilha de auditoria, um plano de backup e restauração e monitoramento para fundos baixos na carteira, armazenamento se esgotando, uploads travados, publicações com falha e uma ponta da cadeia desatualizada. O binário registra JSON estruturado para um agregador de logs e expõe uma sonda de saúde.

Privilégio mínimo. Um navegador jamais deve receber credenciais de operadora. Um job de CI jamais deve receber mais poder do que precisa. Restrinja os tokens de conta de forma estreita e mantenha-os de vida curta.

Como funciona a verificação contra um gateway auto-hospedado?

Exatamente como contra qualquer gateway: a verificação não confia no gateway de modo algum.

Um verificador checa a transação Cardano, os metadados Label 309, os hashes, as assinaturas opcionais, quaisquer provas Merkle e as cargas seladas usando as regras do padrão — sem servidor emissor no circuito. O gateway ajuda você a publicar e a indexar; ele não consegue tornar válida uma prova inválida.

Isso importa mais ainda para sistemas internos. Uma empresa que executa o próprio gateway deve, mesmo assim, verificar seus próprios registros de forma independente. "Nosso gateway disse que publicou" não é a prova. O registro na cadeia e uma verificação independente são a prova. Você pode rodar essa verificação com a ferramenta de linha de comando cardanowall de código aberto ou verificar um registro à mão — nenhuma das duas precisa do seu gateway em execução.

Como isso se relaciona com a CardanoWall?

A CardanoWall é o produto hospedado e polido e a operadora de referência do padrão. Hospedar por conta própria é o caminho da independência. Os dois não estão em conflito.

Um usuário pode começar na CardanoWall, migrar depois para um gateway auto-hospedado ou usar ambos para fluxos de trabalho diferentes. Um desenvolvedor pode construir um produto sobre o modelo do gateway. Uma empresa pode manter a CardanoWall hospedada para equipes simples enquanto executa o próprio gateway para automação regulada. A camada compartilhada por baixo de tudo isso é o Label 309 — aberto, neutro quanto ao fornecedor e o mesmo na cadeia, seja quem for que publique.

A versão curta

Execute o próprio gateway quando você quiser operar o serviço de publicação você mesmo. Você ganha controle sobre financiamento, contas, margens, chaves de API, infraestrutura e política — e assume a responsabilidade pela disponibilidade, segurança, carteiras, armazenamento, monitoramento e atualizações.

A CardanoWall hospedada é conveniência. Hospedar por conta própria é controle. Os registros de prova permanecem padronizados de um jeito ou de outro.

Leitura adicional

O padrão aberto: label309.org.
O gateway, os SDKs e a CLI, todos de código aberto (Apache-2.0): github.com/cardanowall.
O padrão de metadados foi submetido ao processo CIP da Cardano e está em análise: o pull request da proposta.
O que é um gateway Label 309?
O Label 309 é de código aberto