Heeft de Edge Runner internettoegang nodig?

Niet voor de kernuitvoering. On-premise-implementaties zijn ontworpen voor beperkte of geen internetverbinding. Updates volgen uw goedgekeurde kanalen.

Kunnen gevoelige gegevens binnen onze omgeving blijven?

Ja. On-premise-implementaties zijn zo opgebouwd dat planning, uitvoering en bewijs volledig binnen door de klant beheerde infrastructuur kunnen blijven.

Kunnen we rapporten uitsluitend lokaal uitvoeren?

Ja. Uitsluitend lokaal bewijs en lokale rapportage zijn de standaard voor conservatieve on-premise- en air-gapped-implementaties.

Hoe worden testcapsules goedgekeurd?

Uw on-premise control plane handhaaft ondertekening, beleidscontroles, versiebeheer en menselijke goedkeuring voordat capsules de runners bereiken.

Kan Zof samenwerken met ons PAM-systeem?

Ja. De uitvoering integreert met PAM voor credential-brokering zonder secrets buiten uw controles te bewaren.

Kunnen we Zof on-premise implementeren?

Ja. Deze pagina beschrijft ons on-premise control plane-aanbod, exclusief voor enterprise met architectuurreview.

Kunnen we een private cloud gebruiken?

Ja. Sommige klanten gebruiken private cloud voor het control plane en on-premise runners voor uitvoering; uw architectuurreview bepaalt de juiste verdeling.

Kan remediatie menselijke goedkeuring vereisen?

Ja. Bestuurde remediatie vereist expliciete goedkeuring vóór acties met productie-impact.

Kunnen we screenshots voorkomen of gevoelige velden redigeren?

Ja. Redactie- en vastleggingsbeleid wordt per omgeving geconfigureerd.

Kunnen we tests uitvoeren op desktopapplicaties?

Ja. Runners ondersteunen desktopvalidatie waar het beleid dit toestaat.

Kunnen we air-gapped omgevingen ondersteunen?

Ja. On-premise is het primaire pad voor air-gapped gebruik, inclusief handmatige capsule-import voor pilots.

Hoe verschilt de prijs voor on-premise- of enclave-implementaties?

On-premise-prijzen zijn op maat en omvatten architectuurreview, implementatieplanning, beveiligingsvalidatie en enterprise-ondersteuning. Neem contact op met sales.

Private Kubernetes

Private Kubernetes Deployment for Autonomous Reliability Infrastructure

Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.

Beoordeel de implementatiearchitectuur Bekijk de implementatiehub

Door de klant beheerde clusters

Scheiding van control- en executionplane

Patronen voor namespace-isolatie

Compatibel met hybride en enclave-modellen

Waarom private orkestratie

Waarom ondernemingen private orkestratie vereisen

Veel teams standaardiseren al op Kubernetes voor interne platforms. Zof ondersteunt uitvoeringsplaatsing in die clusters zonder dat je bestaande orkestratie-investeringen hoeft op te geven.

-Bestaande clusterstandaarden en GitOps-pipelines
-Eigenaarschap van nodes en netwerken bij het platformteam
-Noodzaak om gevoelige workloads weg te houden van uitvoering op multi-tenant SaaS
-Gereguleerde omgevingen met isolatie op namespace-niveau

Klantclusters

Uitvoeringsinfrastructuur draaien in door de klant beheerde clusters

Uitvoeringsagents kunnen worden geïmplementeerd als workloads in clusters die jij beheert. Planning en goedkeuringen kunnen, afhankelijk van het beleid, draaien in control planes in de cloud, private cloud of on-prem.

-Agents worden ingepland zoals andere interne services
-Compatibel met CNI- en policy-engines van de klant
-Geen vereiste voor inkomende toegang tot het cluster
-Ondersteunt na verloop van tijd multi-clusterfleets

Planescheiding

Scheiding van control plane en execution plane

De control plane bevat beleidsregels, graafcontext, goedkeuringen en planning. De execution plane voert ondertekende capsules uit tegen applicaties binnen het cluster of aangesloten netwerken.

Private Kubernetes-uitvoering

Uitvoeringscompatibele agents in door de klant beheerde clusters, geen volledige platforminstallatie.

-Duidelijke grens voor beveiligingsbeoordeling
-Gevoelige runtimegegevens blijven in uitvoeringsnamespaces
-Control plane-API's voeren niet rechtstreeks tests uit tegen beschermde apps
-Hybride splitsingen komen vaak voor bij enterprise-uitrollen

K8s-agents

Kubernetes-uitvoeringsagents

Agents zijn ontworpen voor compatibiliteit met Kubernetes van de klant, niet als vervanging voor je platformteam. Sizing, HA en upgrades volgen je clusterstandaarden.

-Implementatie via door de klant goedgekeurde manifesten of operators
-Resourcelimieten en pod-securitybeleid worden gerespecteerd
-Runner-identiteit en allowlists voor uitvoeringshosts
-Gefaseerde uitrol per namespace of cluster

Grenzen

Veilige uitvoeringsgrenzen

Namespaces, netwerkbeleid en serviceaccounts isoleren uitvoering van niet-gerelateerde workloads. Secrets worden tijdens runtime gemount, niet opgeslagen in Zof Cloud.

-Namespace-gebonden RBAC
-Integratie met externe secretsmanagers waar ondersteund
-Optionele afstemming op een service mesh
-Audit van levenscyclusgebeurtenissen van agents

Interne tests

Testen van uitsluitend interne applicaties

Valideer microservices, interne API's en admin-UI's die bereikbaar zijn vanuit clusternetwerken, zonder ze bloot te stellen aan het publieke internet.

-Service-naar-servicetests binnen het cluster
-Alleen ingress waar het beleid dit toestaat
-Combineer met edge-runners voor legacysystemen buiten het cluster
-Graafbewuste targeting vermindert ruis

Isolatie

Namespace-isolatie

Teams koppelen bedrijfsonderdelen of omgevingen aan namespaces met afzonderlijke beleidsregels, bewaring en bewijsmodi.

-Scheiding van dev / staging / prod
-Quota's en gelijktijdigheidslimieten per team
-Bewijsopslag beperkt tot de namespace
-Promotieworkflows over namespaces heen

Secrets

Verwerking van secrets

Inloggegevens worden tijdens uitvoering bemiddeld via PAM- of cluster-secrets-integraties. Langlevende secrets worden standaard niet naar externe SaaS gekopieerd.

-Kortlevende tokens hebben de voorkeur
-PAM-compatibele patronen
-Geen persistentie van secrets in de planningplane zonder goedkeuring
-Rotatie afgestemd op je standaarden

Artefacten

Artefactroutering

Testartefacten en bundels blijven in door de klant beheerde opslag, tenzij je geschoonde of metadata-uitgaande communicatie configureert.

Hybride uitvoeringsarchitectuur

Cloud-orchestratie met gedistribueerde lokale uitvoeringsvloten.

-S3-compatibele, NFS- of on-clustervolumes
-Bewaarbeleid per namespace
-Checksum en ondertekening voor bundels
-Optionele promotie naar de centrale bewijscatalogus

Telemetrie

Telemetriegrenzen

Metrics en logs van agents kunnen in observability-stacks binnen het cluster blijven. Centrale dashboards kunnen samenvattingen met alleen metadata ontvangen.

-OpenTelemetry-compatibele patronen waar ondersteund
-Redactie vóór export over grenzen heen
-Correlatie-ID's voor audit
-Geen verplichte volledige logexfiltratie

Governance

Enterprise-governance

Capsule-ondertekening, menselijke goedkeuring en remediatie-gates gelden uniform, of de uitvoering nu op VM's, bare metal of Kubernetes plaatsvindt.

-Beleidsversie vastgepind aan runs
-Goedkeuringsketens voor productiepaden
-Integratie met ITSM-wijzigingsrecords
-Export voor GRC en interne audit

Hybride patronen

Hybride architectuurpatronen

Kubernetes-uitvoering bestaat vaak naast VPC-runners, edge-locaties en endpoint-agents onder één control plane.

-Eén graph en fleet-orkestratie
-Consistent capsulemodel over alle oppervlakken
-Bewijsbeleid per oppervlak
-Architectuurreview bepaalt de uitrolvolgorde

Veelgestelde vragen

Vragen over on-premise-implementatie

Veelvoorkomende vragen van infrastructuur- en beveiligingsteams.

Nee. De uitvoering gebruikt door de klant geïmplementeerde runners binnen uw netwerk. Zof vereist geen inkomende toegang tot beveiligde segmenten.

Next step

Bespreek een veilige implementatie met Zof

Bekijk segmentatie, capsulegovernance en runnerplaatsing met teams die gereguleerde ondernemingen ondersteunen.

Plan een briefing over veilige implementatie Neem contact op met sales