Hybride Bereitstellung
Sensible Workloads auf Ihrer Infrastruktur, Routine-Workloads in unserer Cloud — mit einer einheitlichen UX und einem einzigen Berechtigungsmodell über beide hinweg. Für Organisationen, die sich nicht sauber in „komplett Cloud“ oder „komplett On-Premise“ einordnen lassen.
Verfügbarkeit: Dieser Bereitstellungsmodus wird Business- & Enterprise-Kunden angeboten (vertriebsgeführt). Die Managed EU Cloud ist der Self-Service-Weg; die Verfügbarkeit von Funktionen richtet sich nach der Plattform-Roadmap.
Wann hybrid sinnvoll ist
- Gemischte Datenklassifizierungen — manche Daten sind reguliert (Patientenakten, klassifizierte Dokumente), andere nicht (Marketing, öffentliche Inhalte)
- Schrittweise Migration — Sie wechseln von Managed zu On-Premise, müssen aber während des Übergangs beides betreiben
- Kostenoptimierung — Routine-Workloads mit hohem Volumen auf Ihren eigenen GPUs, gelegentliche Workloads in der Pay-per-Token-Cloud
- Regionale Aufteilung — EU Cloud für die Zentrale, On-Premise in einem bestimmten Land, in dem Souveränität verpflichtend ist
Wie es funktioniert
Zwei (oder mehr) StellarBase-Bereitstellungen laufen parallel — eine in unserer Managed Cloud, eine in Ihrem Rechenzentrum. Eine Föderationsschicht verbindet sie:
- Einheitliche Identität — Single Sign-On funktioniert über beide Bereitstellungen hinweg
- Einheitliche UI — Nutzer sehen ein StellarBase, nicht zwei. Die Navigation überschreitet die Grenzen der Bereitstellungen nahtlos, je nachdem, worauf der Nutzer Zugriff hat.
- Bereitstellungsübergreifende Suche — eine Abfrage auf einer Seite liefert Ergebnisse aus beiden (abhängig von den Berechtigungen)
- Kontrolle der Datenplatzierung — jede Base ist einer Bereitstellung explizit zugewiesen. Daten bewegen sich nicht zwischen Bereitstellungen, sofern Sie sie nicht verschieben.
Was wo liegt
Typische hybride Aufteilung:
| In unserer EU Cloud | Auf Ihrer Infrastruktur |
|---|---|
| Öffentliche Marketinginhalte | Vertrauliche Rechtsfälle |
| Sales Research | Patientenakten |
| Schulungsmaterialien | Klassifizierte Projektdokumente |
| Lieferantendokumentation | Engineering-Daten mit Geschäftsgeheimnissen |
| HR-Onboarding-Inhalte | M&A Deal Rooms |
Die Aufteilung ist Ihre Entscheidung — wir setzen durch, was Sie konfigurieren.
Identität & Berechtigungen
Ein einziger Identity Provider (Ihr SSO) übernimmt die Authentifizierung für beide Bereitstellungen. Ihre bestehende Gruppenstruktur wird auf Rollen in jeder Bereitstellung abgebildet. Die Erfahrung eines Nutzers:
- Einmalige Anmeldung per SSO
- Eine einheitliche Liste von Bases — visuell identisch, unabhängig davon, welche Bereitstellung sie stützt
- Nahtloses Wechseln zwischen Bases
- Base-übergreifende Suche liefert Treffer aus beiden Bereitstellungen (nach Berechtigungen gefiltert)
Grenzen des Datenflusses
Standardmäßig überschreiten keine Daten die Bereitstellungsgrenze. Ein Dokument in Ihrer On-Premise-Bereitstellung bleibt dort. Eine Suche, die sich über beide erstreckt, liefert nur Metadaten und Vorschau-Snippets — das vollständige Dokument wird lokal gerendert.
Bereitstellungsübergreifende Datenflüsse können bei Bedarf explizit konfiguriert werden:
- Ein Agent in der Cloud-Bereitstellung kann die On-Premise-Wissensdatenbank abfragen (nur Retrieval, kein Export des vollständigen Dokuments)
- Ein Workflow kann mit ausdrücklicher Freigabe bestimmte Daten zwischen Bereitstellungen verschieben
- Gemeinsame Wörterbücher und Regelsätze können synchronisiert werden
LLM-Routing
Agenten können so konfiguriert werden, dass sie in verschiedenen Kontexten unterschiedliche LLMs verwenden:
- On-Premise-Base → nur lokale LLMs (kein Internetaufruf)
- Cloud-Base → StellarCloud-Modelle (unsere EU-Infrastruktur)
- Beide → externes kommerzielles LLM über StellarGate (mit anonymisierten PII)
Das Routing erfolgt pro Agent, pro Base. Ein einzelner Workflow, der beide Bereitstellungen berührt, kann ein lokales LLM für die On-Premise-Schritte und ein Cloud-LLM für die Schritte mit öffentlichen Daten verwenden.
Networking
Die Föderationsschicht erfordert eine kontrollierte Konnektivität zwischen den beiden Bereitstellungen — typischerweise ein VPN-Tunnel oder Private Peering. Der Verkehr zwischen den Bereitstellungen ist:
- mTLS-authentifiziert
- standardmäßig nur Metadaten (keine Massenverschiebung von Daten)
- gemäß Ihrer Richtlinie ratenbegrenzt
- vollständig im Audit-Log erfasst
Für Air-Gapped-Segmente, die überhaupt keine Konnektivität haben, verwenden Sie zwei separate Bereitstellungen ohne Föderation — Nutzer melden sich einfach bei jeder einzeln an. Die Plattform unterstützt dies — es ist nur kein „hybrid“ im einheitlichen Sinne.
Audit & Compliance
Jede Bereitstellung führt ihr eigenes Audit-Log. Die Föderationsschicht protokolliert bereitstellungsübergreifende Ereignisse (bereitstellungsübergreifende Suche, bereitstellungsübergreifende Workflow-Auslösungen) auf beiden Seiten. Für Compliance erhalten Sie eine einheitliche Sicht durch Export und Zusammenführung — oder durch Streaming beider in Ihr SIEM.
Abrechnung
Zwei Komponenten:
- Managed Cloud: per Token / per Einheit wie gewohnt
- On-Premise: jährliche Lizenz, dimensioniert auf die Bereitstellung
Einheitliche Rechnungsstellung verfügbar — eine Rechnung, nach Bereitstellung aufgeschlüsselt.
Migration & Lebenszyklus
Hybrid ist oft ein Zwischenschritt:
- Pilot → Hybrid → Vollständiges On-Premise für Organisationen, die eine vollständige Self-Hosting-Migration planen
- On-Premise → Hybrid → Managed für Organisationen, die Workloads in die Cloud verlagern
- Hybrid auf unbestimmte Zeit für Organisationen, deren Workloads sich naturgemäß aufteilen
Verwandt
- Managed EU Cloud
- On-Premise
- Auth & RBAC — bereitstellungsübergreifende Identität
