DATACENDIA
English Español Français Deutsch Português Italiano 日本語 한국어 中文 العربية हिन्दी

主权智能平台

🔒

气隙部署指南

在完全隔离的网络中部署企业AI。无需互联网连接。专为国防承包商、机密系统和关键基础设施构建。

什么是气隙部署?

气隙部署意味着Datacendia完全在您的隔离网络内运行,零外部连接。无互联网访问。无云API。无数据离开您的基础设施。这是唯一满足ITAR、机密处理和关键基础设施安全要求的部署模型。

气隙 vs. VPN或防火墙网络: VPN或防火墙保护的网络仍然有互联网连接——只是受到限制。气隙意味着物理隔离:没有连接到外部系统的网络电缆,没有无线,没有蜂窝网络。如果网络可以到达互联网(即使通过多个跳转),它就不是气隙的。

重要: 气隙部署在运营上比云或VPC部署更复杂。问题不是使用云AI是否更容易——问题是您的监管要求、威胁模型或数据分类是否允许您接受外部连接的风险。

谁需要气隙部署?

国防承包商

处理ITAR控制技术数据、CUI或机密信息的组织不能使用云AI。出口管制法规(ITAR、EAR)禁止外国访问技术数据,美国云提供商可能受到外国政府法律请求的约束。

  • ITAR合规(国际武器贸易条例)
  • 机密项目数据(SECRET、TOP SECRET、SCI)
  • CMMC 3级要求
  • 国防工业基地(DIB)供应链保护

关键基础设施

电网、水处理设施、运输系统和电信网络被指定为关键基础设施。气隙部署防止对手访问控制系统和运营数据。

  • SCADA / ICS网络隔离
  • 核设施运营(NRC要求)
  • 电网管理(NERC CIP)
  • 供水/污水处理设施

情报界

IC机构处理不能暴露给外部系统的机密情报。气隙部署使SIGINT、HUMINT和其他机密来源的AI分析成为可能。

  • 机密情报分析
  • IC ITE(情报界信息技术企业)
  • SIPRNet / JWICS部署
  • 分区信息处理

高价值商业

一些商业组织出于竞争或知识产权保护原因选择气隙部署,即使没有监管要求。

  • 制药研发(专利前药物候选)
  • 制造业商业秘密
  • 金融交易算法
  • 并购尽职调查(敏感交易数据)

基础设施要求

最低系统要求

计算
16核(推荐32核)
内存
64GB RAM(推荐128GB)
存储
最低500GB SSD(推荐2TB+)
操作系统
Ubuntu 22.04 LTS或RHEL 8+
网络
仅内部(无外部连接)
GPU
可选(NVIDIA T4或更好用于加速)

规模指南: 上述要求支持10-20个并发用户和中等数据量。对于更大的部署(100+用户,10TB+数据),请联系我们进行架构审查。

虚拟机 vs. 裸机: Datacendia可以在VMware ESXi、Hyper-V或KVM虚拟机上运行。但是,为了获得最大性能和GPU加速,建议裸机部署。如果使用带GPU的VM,请确保您的虚拟机管理程序支持GPU直通。

部署流程

步骤1:部署前评估(第1周)

目标: 验证基础设施就绪状态并识别依赖项。

  • 审计现有隔离网络架构
  • 识别内部数据源(数据库、文件共享、应用程序)
  • 确定批准的安全介质用于文件传输(USB、DVD、内部SneakerNet)
  • 定义用户访问和身份验证要求(LDAP、CAC/PIV、SAML)
  • 审查运营手册和变更管理程序

步骤2:包传输(第2周)

目标: 将Datacendia安装包移动到气隙环境。

  • Datacendia以压缩存档(.tar.gz)形式提供安装包
  • 包经过加密签名(提供GPG签名)
  • 按照您组织的数据传输程序通过批准的安全介质传输
  • 使用提供的校验和和签名验证包完整性

典型包大小: 2-5GB压缩(模型、应用代码、依赖项)

步骤3:安装(第2-3周)

目标: 在隔离基础设施上安装Datacendia。

  • 将安装包解压到目标服务器
  • 运行自动安装脚本(验证依赖项,配置服务)
  • 初始化数据库(嵌入式PostgreSQL或连接到现有数据库)
  • 配置身份验证集成(LDAP、Active Directory、SAML IdP)
  • 为内部HTTPS设置TLS证书

安装时间: 4-8小时(取决于基础设施复杂性)

步骤4:数据连接器配置(第3-4周)

目标: 将Datacendia连接到内部数据源。

  • 配置数据库连接器(PostgreSQL、Oracle、SQL Server等)
  • 设置文件共享访问(NFS、SMB/CIFS)
  • 与内部API集成(REST、SOAP)
  • 测试数据摄取并验证连接性
  • 配置数据同步的刷新计划

步骤5:测试和验证(第4-5周)

目标: 验证安装并确认没有外部依赖项。

  • 网络隔离测试(确认没有尝试出站连接)
  • 与试点组进行用户验收测试
  • 负载下的性能基准测试
  • 故障转移和恢复测试
  • 文档交接和操作员培训

步骤6:生产上线(第5-6周)

目标: 部署到生产用户并建立持续运营。

  • 将试点配置迁移到生产
  • 用户入职和培训会议
  • 建立监控和运营程序
  • 记录常见场景的运行手册

总部署时间线: 从基础设施评估到生产4-6周。时间线假设基础设施可用且您的团队有专门资源用于部署。

更新和维护

气隙环境中更新的工作方式

Datacendia无法像云软件一样自动更新。更新以离线包的形式通过批准的安全介质传输。

更新流程:

  1. Datacendia发布更新包(每季度或根据安全补丁需要)
  2. 客户从Datacendia客户门户下载更新包(从连接的系统)
  3. 客户通过批准的介质将包传输到气隙环境
  4. 客户使用GPG密钥验证包签名
  5. 客户在维护窗口期间运行更新脚本
  6. 系统在应用更新前自动备份当前版本
  7. 更新应用,服务重启,运行验证测试

更新频率: 主要版本:每季度。安全补丁:根据需要(通常每季度1-3次)。您控制何时应用更新——没有强制更新。

回滚能力

如果更新导致问题,Datacendia支持一键回滚到以前的版本。回滚期间所有数据和配置都会保留。

长期支持

Datacendia为无法频繁更新的客户提供长期支持(LTS)版本。LTS版本在18个月内接收安全补丁,而不强制功能升级。

运营考虑

与云部署的权衡

方面 云SaaS 气隙
设置时间 小时
更新 自动 手动(离线包)
运营负担 低(我们管理) 高(您管理)
支持响应 可远程访问 仅文档+屏幕共享
数据主权 部分 完全
合规选项 SOC 2、GDPR、HIPAA ITAR、机密、CMMC、全部

人员要求

气隙部署需要内部技术人员来管理系统。推荐团队:

  • 系统管理员(0.5 FTE): 操作系统补丁、监控、用户管理
  • DBA(0.25 FTE): 数据库维护、备份管理
  • 网络工程师(按需): 连接故障排除、性能优化
  • 应用所有者(0.25 FTE): 用户支持、配置更改、数据连接器管理

支持模式

Datacendia通过以下方式为气隙部署提供支持:

  • 文档门户(可从连接的系统访问)
  • 屏幕共享会话(非侵入式,视觉故障排除)
  • 电子邮件和电话支持
  • 与客户成功团队的季度检查

我们无法远程访问气隙系统,因此故障排除依赖于您的团队提供日志、截图和配置详情。

常见问题

Datacendia可以在SIPRNet或JWICS上工作吗?

是的。Datacendia在架构上设计用于在机密网络上部署,包括SIPRNet(SECRET)和JWICS(TOP SECRET/SCI)。部署遵循相同的离线包传输流程,通过批准的机密介质处理程序。我们正在寻找有机密网络需求的试点合作伙伴。

初始部署后如何添加新数据源?

数据连接器可以通过Datacendia管理界面配置。除非连接到初始安装中未包含的新数据库类型,否则不需要外部包。

如果我的气隙系统发生故障怎么办?

Datacendia支持具有自动故障转移的高可用性(HA)配置。在HA模式下,如果主节点发生故障,辅助节点将在15分钟内接管。您管理HA基础设施(我们提供配置指导)。

我可以使用自己的AI模型而不是Datacendia的模型吗?

是的。Datacendia支持异构LLM部署。您可以部署自己的微调模型(与HuggingFace Transformers格式兼容)与Datacendia的模型一起或代替它们。

气隙部署的费用是多少?

气隙部署定价从每年15万美元起(相比云SaaS的7.5万美元)。溢价涵盖离线更新包、扩展支持模式和复杂部署的架构咨询。查看定价详情

气隙部署咨询

安排架构审查以评估您环境的气隙部署。

请求简报 →

了解更多关于主权部署选项或探索合规框架