Air-Gapped-Bereitstellung
Stellen Sie die vollständige Plattform innerhalb eines Netzwerks ohne jeglichen Internet-Egress bereit. Alles — LLMs, Agenten, Workflows, Admin-UI — läuft auf Ihrer Hardware. Für klassifizierte Workloads, Verteidigung und regulierte Branchen, die keine Daten nach außen senden dürfen.
Verfügbarkeit: Dieser Bereitstellungsmodus wird Business- & Enterprise-Kunden angeboten (vertriebsgeführt). Die Managed EU Cloud ist der Self-Service-Weg; die Verfügbarkeit von Funktionen richtet sich nach der Plattform-Roadmap.
Was Air-Gapped hier bedeutet
„Air-Gapped“ wird breit verwendet. Wir meinen damit: überhaupt keine ausgehende Internetverbindung von der StellarBase-Bereitstellung. Kein Phone-Home, keine Telemetrie, kein Check-in bei einem Lizenzserver, keine Modell-Updates über das Netzwerk. Wenn Sie das Internetkabel abziehen, funktioniert die Plattform unbegrenzt weiter.
Was in einer Air-Gapped-Installation ausgeliefert wird
Plattform-Images
Signierte Container-Images für jeden Dienst. Ausgeliefert als Tarballs zum Import in Ihre interne Registry. Keine Abhängigkeiten, die zur Laufzeit aus externen Registries geladen werden.
Data Packs
Inhalte, die eine verbundene Bereitstellung aus dem Internet beziehen würde — ausgeliefert als signierte Offline-Packs:
- LLM-Gewichte — GPT-OSS 120B, Devstral 2, Qwen 3.5 397B oder eine Teilmenge. Sie wählen, welche Modelle installiert werden.
- Spezialisierte Modellgewichte — Embedding-, Bild-, NER- und Reranking-Modelle sowie StellarOCR-Komponenten
- Offline-Korpora — Rechtskodizes (Sbírka zákonů, EUR-Lex), Spiegel wissenschaftlicher Literatur, regulatorische Datenbanken. Optional — wählen Sie, was Sie benötigen.
Tooling
Helm-Charts, Admin-CLI, Migrationsskripte, Health-Check-Tools — alles im Paket enthalten.
Update-Modell
Updates werden als signierte Data Packs auf physischen Datenträgern oder über den kontrollierten Datenübertragungsprozess Ihrer Organisation ausgeliefert. Eine typische Kadenz:
- Sicherheitspatches — innerhalb von 14 Tagen nach Veröffentlichung, höhere Priorität für kritische
- Minor Releases — vierteljährlich
- Major Releases — jährlich
- LLM-Refresh — neue Modellversionen gebündelt mit Minor- / Major-Releases
- Refresh der Rechtskorpora — vierteljährlich (Sbírka zákonů, EUR-Lex)
Kunden mit strengen Change-Management-Prozessen können jedes Release überspringen — keine erzwungenen Upgrades.
Was sich vom Standard-On-Premise unterscheidet
Im Vergleich zu mit dem Internet verbundenem On-Premise:
- Sämtliche LLM-Inferenz muss lokal erfolgen — kein Routing zu Cloud-Anbietern
- Externe APIs (OpenAI, Anthropic usw.) sind schlicht nicht verfügbar
- Konnektoren nur zu internen Systemen (keine SaaS-Konnektoren wie Notion, Slack, Drive)
- Updates erfolgen pull-basiert über Ihren kontrollierten Übertragungsprozess
- Keine Telemetrie, keine Crash-Reports und keine Nutzungsmetriken werden übertragen
Funktionen, die weiterhin funktionieren
Alles, was keinen externen Dienst benötigt:
- Vollständige Wissensdatenbank, Ingestion, Suche, Retrieval
- Alle Agenten, Workflows, Chat, Zusammenarbeit
- StellarOCR und alle spezialisierten Modelle
- Lokale LLMs (GPT-OSS, Devstral, Qwen oder Teilmenge)
- StellarGate-Anonymisierung (nützlich auch dann, wenn Sie keine externen LLMs aufrufen — für die Logging-Disziplin)
- Offline-Rechts- / Regulierungskorpus
- Konnektoren zu internen Systemen (Postgres, SharePoint, iManage, FHIR, SCADA usw.)
Funktionen, die nicht funktionieren
- Externe LLM-Anbieter (per Definition — sie benötigen Internet)
- Cloud-basierte SaaS-Konnektoren (Notion, Slack Cloud, Google Workspace Cloud)
- Externe APIs (TripAdvisor, Skyscanner, kommerzielle Marktdaten-APIs)
Alles auf dieser Liste kann bei Bedarf durch interne Äquivalente ersetzt werden.
Zertifizierungen & Compliance
Unsere Air-Gapped-Architektur ist darauf ausgelegt, Folgendes zu erfüllen:
- Anforderungen des tschechischen NBÚ (Nationale Sicherheitsbehörde) für klassifizierte Informationssysteme
- Deutsches BSI (IT-Grundschutz), Basis- und erweiterte Stufen
- EU-NIS2-Anforderungen für Betreiber wesentlicher Dienste
- ISO 27001 Annex A Maßnahmen für segregierte Netzwerke
- IEC 62443 für industrielle Steuerungssysteme
Eine kundenspezifische Zertifizierung (z. B. für Verteidigungsaufträge) ist eine gemeinsame Anstrengung — wir liefern Architektur, Dokumentation und technischen Support; Sie führen den Zertifizierungsprozess mit Ihrer Behörde durch.
Bereitstellungsprozess
- Sicherheitsprüfung mit Ihrem internen Team + unserem
- Infrastruktur-Sizing (GPUs, CPU, Storage)
- Paketlieferung über Ihren kontrollierten Übertragungsprozess
- Installation vor Ort oder remote (über Ihren freigegebenen Kanal)
- Identitätsintegration (SSO über Ihren internen IdP)
- Konnektor-Konfiguration
- Sicherheitszertifizierung / Audit
- Go-live
Zeitrahmen: typischerweise 4–12 Wochen, abhängig von der Komplexität Ihrer Sicherheitsprüfung.
Support-Modell
Da wir Ihre Bereitstellung nicht aus der Ferne erreichen können, ist der Support anders gestaltet:
- Namentlich benannte Ingenieure, die Ihrer Bereitstellung zugewiesen sind
- Health-Check-Tools im Paket — Sie führen sie aus und teilen die Ausgaben mit uns über Ihren freigegebenen Kanal
- Vor-Ort-Support für Incident Response verfügbar
- Geplante Sicherheitsbriefings für Ihr Team
Verwandte Themen
- On-Premise — Standard-On-Premise mit Internetkonnektivität
- Docker & Kubernetes — technische Details zur Bereitstellung
- Solutions: Government — Fallstudie für die Air-Gapped-Bereitstellung in einem Ministerium
