Privates Kubernetes

Private Kubernetes Deployment for Autonomous Reliability Infrastructure

Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.

Deployment-Architektur prüfenDeployment-Hub ansehen

Kundenverwaltete Cluster

Trennung von Control- / Ausführungs-Plane

Muster zur Namespace-Isolierung

Kompatibel mit Hybrid- und Enclave-Modellen

Warum private Orchestrierung

Warum Unternehmen private Orchestrierung benötigen

Viele Teams standardisieren ihre internen Plattformen bereits auf Kubernetes. Zof unterstützt die Ausführungsplatzierung in diesen Clustern, ohne dass Sie bestehende Orchestrierungsinvestitionen aufgeben müssen.

  • -Bestehende Cluster-Standards und GitOps-Pipelines
  • -Ownership der Plattform-Teams für Nodes und Netzwerk
  • -Notwendigkeit, sensible Workloads von mandantenübergreifender SaaS-Ausführung fernzuhalten
  • -Regulierte Umgebungen mit Isolierung auf Namespace-Ebene
Kundencluster

Ausführungsinfrastruktur in kundenverwalteten Clustern betreiben

Ausführungsagenten können als Workloads in den von Ihnen betriebenen Clustern bereitgestellt werden. Planung und Freigaben können je nach Richtlinie in Cloud-, Private-Cloud- oder On-Premises-Control-Planes ausgeführt werden.

  • -Agenten werden wie andere interne Dienste eingeplant
  • -Kompatibel mit kundeneigenen CNI- und Policy-Engines
  • -Kein eingehender Zugriff auf den Cluster erforderlich
  • -Unterstützt Multi-Cluster-Flotten im Laufe der Zeit
Plane-Trennung

Trennung von Control Plane und Execution Plane

Die Control Plane verwaltet Richtlinien, Graph-Kontext, Freigaben und Scheduling. Die Execution Plane führt signierte Kapseln gegen Anwendungen innerhalb des Clusters oder verbundener Netzwerke aus.

Ausführung in privatem Kubernetes

Ausführungskompatible Agents in kundenverwalteten Clustern, keine vollständige Plattforminstallation.

Control Plane (Kunde oder Zof)Kubernetes-Cluster des KundenControl PlaneSignierenNamespaceAusführungs-AgentWorkloadsSecretsArtefakteTelemetrie-Grenze
  • -Klare Grenze für die Sicherheitsprüfung
  • -Sensible Laufzeitdaten verbleiben in den Ausführungs-Namespaces
  • -Control-Plane-APIs führen keine Tests direkt gegen geschützte Apps aus
  • -Hybride Aufteilungen sind bei Enterprise-Rollouts üblich
K8s-Agenten

Kubernetes-Ausführungsagenten

Die Agenten sind auf Kompatibilität mit Ihrem Kubernetes ausgelegt und nicht als Ersatz für Ihr Plattform-Team. Dimensionierung, HA und Upgrades richten sich nach Ihren Cluster-Standards.

  • -Bereitstellung über kundenseitig freigegebene Manifeste oder Operatoren
  • -Resource Limits und Pod Security Policies werden eingehalten
  • -Runner-Identität und Allowlists für Ausführungs-Hosts
  • -Gestaffelte Rollouts pro Namespace oder Cluster
Grenzen

Sichere Ausführungsgrenzen

Namespaces, Network Policies und Service Accounts isolieren die Ausführung von nicht verwandten Workloads. Secrets werden zur Laufzeit gemountet und nicht in der Zof Cloud gespeichert.

  • -Namespace-bezogenes RBAC
  • -Integration mit externen Secrets-Managern, sofern unterstützt
  • -Optionale Service-Mesh-Anbindung
  • -Audit der Lifecycle-Ereignisse der Agenten
Internes Testing

Tests ausschließlich interner Anwendungen

Validieren Sie Microservices, interne APIs und Admin-UIs, die aus Cluster-Netzwerken erreichbar sind, ohne sie dem öffentlichen Internet auszusetzen.

  • -Service-zu-Service-Tests innerhalb des Clusters
  • -Nur über Ingress, sofern die Richtlinie es zulässt
  • -Kombinierbar mit Edge-Runnern für clusterfremde Legacy-Systeme
  • -Graph-gestütztes Targeting reduziert Rauschen
Isolation

Namespace-Isolation

Teams ordnen Geschäftsbereiche oder Umgebungen Namespaces mit eigenen Richtlinien, Aufbewahrungsfristen und Evidence-Modi zu.

  • -Trennung von Dev / Staging / Prod
  • -Kontingente und Parallelitäts-Limits pro Team
  • -Auf den Namespace beschränkte Evidence-Speicher
  • -Promotion-Workflows über Namespaces hinweg
Secrets

Umgang mit Secrets

Anmeldedaten werden zur Ausführungszeit über PAM- oder Cluster-Secrets-Integrationen vermittelt. Langlebige Secrets werden standardmäßig nicht in externe SaaS-Dienste kopiert.

  • -Kurzlebige Tokens werden bevorzugt
  • -PAM-kompatible Muster
  • -Keine Speicherung von Secrets in der Planning Plane ohne Freigabe
  • -Rotation gemäß Ihren Standards
Artefakte

Artefakt-Routing

Testartefakte und Bundles verbleiben in kundenkontrolliertem Speicher, sofern Sie keinen bereinigten oder Metadaten-Egress konfigurieren.

Hybride Ausführungsarchitektur

Cloud-Orchestrierung mit verteilten lokalen Ausführungs-Flotten.

Cloud / Private CloudAusführungslandschaft des KundenControlIntelligenceVPC-RunnerEdge-RunnerEndpointOn-Prem-Runner
  • -S3-kompatible, NFS- oder clusterinterne Volumes
  • -Aufbewahrungsrichtlinien pro Namespace
  • -Prüfsumme und Signierung für Bundles
  • -Optionale Promotion in den zentralen Evidence-Katalog
Telemetrie

Telemetrie-Grenzen

Metriken und Logs der Agenten können in clusterinternen Observability-Stacks verbleiben. Zentrale Dashboards erhalten gegebenenfalls nur Metadaten-Zusammenfassungen.

  • -OpenTelemetry-kompatible Muster, sofern unterstützt
  • -Schwärzung vor grenzüberschreitendem Export
  • -Correlation-IDs für das Audit
  • -Keine verpflichtende Exfiltration vollständiger Logs
Governance

Enterprise-Governance

Kapselsignierung, menschliche Freigabe und Remediation-Gates gelten einheitlich, ob die Ausführung auf VMs, Bare Metal oder Kubernetes erfolgt.

  • -Richtlinienversion an Runs gebunden
  • -Freigabeketten für Produktionspfade
  • -Integration mit ITSM-Change-Datensätzen
  • -Export für GRC und internes Audit
Hybride Muster

Hybride Architekturmuster

Kubernetes-Ausführung koexistiert häufig mit VPC-Runnern, Edge-Standorten und Endpoint-Agenten unter einer Control Plane.

  • -Einheitliche Graph- und Flottenorchestrierung
  • -Konsistentes Kapselmodell über alle Oberflächen hinweg
  • -Evidence-Richtlinien pro Oberfläche
  • -Die Architekturprüfung legt die Reihenfolge des Rollouts fest
FAQ

Fragen zur On-Premises-Bereitstellung

Häufige Fragen von Infrastruktur- und Sicherheitsteams.

Nein. Die Ausführung erfolgt über kundenseitig bereitgestellte Runner innerhalb Ihres Netzwerks. Zof benötigt keinen eingehenden Zugriff auf geschützte Segmente.
Next step

Sicheres Deployment mit Zof besprechen

Prüfen Sie Segmentierung, Capsule-Governance und Runner-Platzierung gemeinsam mit Teams, die regulierte Unternehmen betreuen.

Briefing zum sicheren Deployment buchenVertrieb kontaktieren
01Die operative Oberfläche

Eine Oberfläche für Körperhaltung, Operationen und alles, was als nächstes Aufmerksamkeit erfordert.

Das Zof-Home ist kein Marketing-Dashboard. Dabei handelt es sich um die operativen Oberflächentechnik-, QA- und SRE-Teams, die sie jeden Tag nutzen, um die Qualitätshaltung, die Abläufe während des Flugs, die Abdeckung nach Modul und die Maßnahmen, die eine Führungskraft als Nächstes berücksichtigen sollte.

OPERATIVE KPIs

  • Läufe
  • Deckung
  • Risiko

Lebe in jeder Umgebung, in die du versendest.

ARBEITSRÜCKEN

  • Spezifikationen
  • Tests
  • Zeitpläne

Von der Spezifikation bis zur geplanten Regression.

GELÄNDER

  • RBAC
  • SSO
  • Audit

Jede Handlung, die einem namentlich genannten Menschen zuzuschreiben ist.

LIVE/console
Zof AI Home Command Center zeigt 12 Läufe mit 94 % Erfolg, 3 offene kritische Probleme, 84 % Abdeckung, vier Modul-Rückverfolgbarkeitsbalken, die Spezifikationspipeline, bevorstehende Zeitpläne und empfohlene nächste Aktionen mit einer Seitenleiste für aktive Läufe.
Startseite · Checkout-Service · Inszenierung · Live vom Produkt erfasst.
  • 01 · RUNS · 24H

    94% pass

    12 runs across staging

  • 02 · COVERAGE

    84%

    Across four modules

  • 03 · ACTIVE RUNS

    3 running

    Live on this branch

  • 04 · NEXT ACTIONS

    Recommended

    Triage gaps, new spec

Private-Kubernetes-Deployment für autonome Zuverlässigkeit | Zof AI