StellarBase
Dokumentation Bereitstellung Air-Gapped
Bereitstellung

Air-Gapped-Bereitstellung

Stellen Sie die vollständige Plattform innerhalb eines Netzwerks ohne jeglichen Internet-Egress bereit. Alles — LLMs, Agenten, Workflows, Admin-UI — läuft auf Ihrer Hardware. Für klassifizierte Workloads, Verteidigung und regulierte Branchen, die keine Daten nach außen senden dürfen.

Verfügbarkeit: Dieser Bereitstellungsmodus wird Business- & Enterprise-Kunden angeboten (vertriebsgeführt). Die Managed EU Cloud ist der Self-Service-Weg; die Verfügbarkeit von Funktionen richtet sich nach der Plattform-Roadmap.

Was Air-Gapped hier bedeutet

„Air-Gapped“ wird breit verwendet. Wir meinen damit: überhaupt keine ausgehende Internetverbindung von der StellarBase-Bereitstellung. Kein Phone-Home, keine Telemetrie, kein Check-in bei einem Lizenzserver, keine Modell-Updates über das Netzwerk. Wenn Sie das Internetkabel abziehen, funktioniert die Plattform unbegrenzt weiter.

Was in einer Air-Gapped-Installation ausgeliefert wird

Plattform-Images

Signierte Container-Images für jeden Dienst. Ausgeliefert als Tarballs zum Import in Ihre interne Registry. Keine Abhängigkeiten, die zur Laufzeit aus externen Registries geladen werden.

Data Packs

Inhalte, die eine verbundene Bereitstellung aus dem Internet beziehen würde — ausgeliefert als signierte Offline-Packs:

  • LLM-Gewichte — GPT-OSS 120B, Devstral 2, Qwen 3.5 397B oder eine Teilmenge. Sie wählen, welche Modelle installiert werden.
  • Spezialisierte Modellgewichte — Embedding-, Bild-, NER- und Reranking-Modelle sowie StellarOCR-Komponenten
  • Offline-Korpora — Rechtskodizes (Sbírka zákonů, EUR-Lex), Spiegel wissenschaftlicher Literatur, regulatorische Datenbanken. Optional — wählen Sie, was Sie benötigen.

Tooling

Helm-Charts, Admin-CLI, Migrationsskripte, Health-Check-Tools — alles im Paket enthalten.

Update-Modell

Updates werden als signierte Data Packs auf physischen Datenträgern oder über den kontrollierten Datenübertragungsprozess Ihrer Organisation ausgeliefert. Eine typische Kadenz:

  • Sicherheitspatches — innerhalb von 14 Tagen nach Veröffentlichung, höhere Priorität für kritische
  • Minor Releases — vierteljährlich
  • Major Releases — jährlich
  • LLM-Refresh — neue Modellversionen gebündelt mit Minor- / Major-Releases
  • Refresh der Rechtskorpora — vierteljährlich (Sbírka zákonů, EUR-Lex)

Kunden mit strengen Change-Management-Prozessen können jedes Release überspringen — keine erzwungenen Upgrades.

Was sich vom Standard-On-Premise unterscheidet

Im Vergleich zu mit dem Internet verbundenem On-Premise:

  • Sämtliche LLM-Inferenz muss lokal erfolgen — kein Routing zu Cloud-Anbietern
  • Externe APIs (OpenAI, Anthropic usw.) sind schlicht nicht verfügbar
  • Konnektoren nur zu internen Systemen (keine SaaS-Konnektoren wie Notion, Slack, Drive)
  • Updates erfolgen pull-basiert über Ihren kontrollierten Übertragungsprozess
  • Keine Telemetrie, keine Crash-Reports und keine Nutzungsmetriken werden übertragen

Funktionen, die weiterhin funktionieren

Alles, was keinen externen Dienst benötigt:

  • Vollständige Wissensdatenbank, Ingestion, Suche, Retrieval
  • Alle Agenten, Workflows, Chat, Zusammenarbeit
  • StellarOCR und alle spezialisierten Modelle
  • Lokale LLMs (GPT-OSS, Devstral, Qwen oder Teilmenge)
  • StellarGate-Anonymisierung (nützlich auch dann, wenn Sie keine externen LLMs aufrufen — für die Logging-Disziplin)
  • Offline-Rechts- / Regulierungskorpus
  • Konnektoren zu internen Systemen (Postgres, SharePoint, iManage, FHIR, SCADA usw.)

Funktionen, die nicht funktionieren

  • Externe LLM-Anbieter (per Definition — sie benötigen Internet)
  • Cloud-basierte SaaS-Konnektoren (Notion, Slack Cloud, Google Workspace Cloud)
  • Externe APIs (TripAdvisor, Skyscanner, kommerzielle Marktdaten-APIs)

Alles auf dieser Liste kann bei Bedarf durch interne Äquivalente ersetzt werden.

Zertifizierungen & Compliance

Unsere Air-Gapped-Architektur ist darauf ausgelegt, Folgendes zu erfüllen:

  • Anforderungen des tschechischen NBÚ (Nationale Sicherheitsbehörde) für klassifizierte Informationssysteme
  • Deutsches BSI (IT-Grundschutz), Basis- und erweiterte Stufen
  • EU-NIS2-Anforderungen für Betreiber wesentlicher Dienste
  • ISO 27001 Annex A Maßnahmen für segregierte Netzwerke
  • IEC 62443 für industrielle Steuerungssysteme

Eine kundenspezifische Zertifizierung (z. B. für Verteidigungsaufträge) ist eine gemeinsame Anstrengung — wir liefern Architektur, Dokumentation und technischen Support; Sie führen den Zertifizierungsprozess mit Ihrer Behörde durch.

Bereitstellungsprozess

  1. Sicherheitsprüfung mit Ihrem internen Team + unserem
  2. Infrastruktur-Sizing (GPUs, CPU, Storage)
  3. Paketlieferung über Ihren kontrollierten Übertragungsprozess
  4. Installation vor Ort oder remote (über Ihren freigegebenen Kanal)
  5. Identitätsintegration (SSO über Ihren internen IdP)
  6. Konnektor-Konfiguration
  7. Sicherheitszertifizierung / Audit
  8. Go-live

Zeitrahmen: typischerweise 4–12 Wochen, abhängig von der Komplexität Ihrer Sicherheitsprüfung.

Support-Modell

Da wir Ihre Bereitstellung nicht aus der Ferne erreichen können, ist der Support anders gestaltet:

  • Namentlich benannte Ingenieure, die Ihrer Bereitstellung zugewiesen sind
  • Health-Check-Tools im Paket — Sie führen sie aus und teilen die Ausgaben mit uns über Ihren freigegebenen Kanal
  • Vor-Ort-Support für Incident Response verfügbar
  • Geplante Sicherheitsbriefings für Ihr Team

Verwandte Themen