Private Kubernetes Deployment for Autonomous Reliability Infrastructure
Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.
Clusters gerenciados pelo cliente
Separação entre plano de controle e de execução
Padrões de isolamento por namespace
Compatível com modelos híbridos e de enclave
Por que as empresas exigem orquestração privada
Muitas equipes já padronizam o Kubernetes para plataformas internas. A Zof oferece suporte ao posicionamento da execução nesses clusters sem exigir que você abandone investimentos existentes em orquestração.
- -Padrões de cluster e pipelines GitOps existentes
- -Propriedade dos nós e da rede pela equipe de plataforma
- -Necessidade de manter cargas de trabalho sensíveis fora da execução em SaaS multilocatário
- -Ambientes regulamentados com isolamento em nível de namespace
Execução de infraestrutura em clusters gerenciados pelo cliente
Os agentes de execução podem ser implantados como cargas de trabalho em clusters que você opera. O planejamento e as aprovações podem rodar em planos de controle na nuvem, em nuvem privada ou local (on-prem), conforme a política.
- -Agentes agendados como outros serviços internos
- -Compatível com o CNI e os mecanismos de política do cliente
- -Sem necessidade de acesso de entrada ao cluster
- -Suporta frotas de múltiplos clusters ao longo do tempo
Separação entre plano de controle e plano de execução
O plano de controle contém políticas, contexto do grafo, aprovações e agendamento. O plano de execução roda cápsulas assinadas contra aplicações dentro do cluster ou em redes conectadas.
Execução em Kubernetes privado
Agentes compatíveis com execução em clusters gerenciados pelo cliente, não uma instalação completa da plataforma.
- -Limite claro de revisão de segurança
- -Dados sensíveis de runtime permanecem nos namespaces de execução
- -As APIs do plano de controle não executam testes diretamente contra aplicações protegidas
- -Divisões híbridas são comuns em implementações corporativas
Agentes de execução em Kubernetes
Os agentes são projetados para compatibilidade com o Kubernetes do cliente, não como substituto da sua equipe de plataforma. Dimensionamento, alta disponibilidade (HA) e atualizações seguem os padrões do seu cluster.
- -Implantação via manifestos ou operadores aprovados pelo cliente
- -Limites de recursos e políticas de segurança de pods respeitados
- -Identidade de runner e listas de permissão para hosts de execução
- -Implementações em etapas por namespace ou cluster
Limites de execução seguros
Namespaces, políticas de rede e contas de serviço isolam a execução de cargas de trabalho não relacionadas. Os segredos são montados em tempo de execução, não armazenados na Zof Cloud.
- -RBAC com escopo de namespace
- -Integração com gerenciadores de segredos externos, onde houver suporte
- -Alinhamento opcional com service mesh
- -Auditoria dos eventos de ciclo de vida do agente
Testes de aplicações somente internas
Valide microsserviços, APIs internas e interfaces de administração acessíveis a partir das redes do cluster sem expô-los à internet pública.
- -Testes serviço a serviço dentro do cluster
- -Apenas ingress onde a política permitir
- -Combine com runners de edge para sistemas legados fora do cluster
- -A segmentação orientada por grafo reduz o ruído
Isolamento por namespace
As equipes mapeiam unidades de negócio ou ambientes para namespaces com políticas, retenção e modos de evidência distintos.
- -Separação entre dev / staging / produção
- -Cotas por equipe e limites de concorrência
- -Repositórios de evidências com escopo de namespace
- -Fluxos de promoção entre namespaces
Tratamento de segredos
As credenciais são intermediadas no momento da execução via PAM ou integrações de segredos do cluster. Segredos de longa duração não são copiados para SaaS externo por padrão.
- -Tokens de curta duração são preferíveis
- -Padrões compatíveis com PAM
- -Sem persistência de segredos no plano de planejamento sem aprovação
- -Rotação alinhada aos seus padrões
Roteamento de artefatos
Os artefatos e pacotes de teste permanecem em armazenamento controlado pelo cliente, a menos que você configure saída sanitizada ou de metadados.
Arquitetura de execução híbrida
Orquestração em nuvem com frotas de execução locais distribuídas.
- -Compatível com S3, NFS ou volumes no cluster
- -Políticas de retenção por namespace
- -Checksum e assinatura para pacotes
- -Promoção opcional para o catálogo central de evidências
Limites de telemetria
Métricas e logs dos agentes podem permanecer nas stacks de observabilidade do cluster. Os painéis centrais podem receber apenas resumos de metadados.
- -Padrões compatíveis com OpenTelemetry, onde houver suporte
- -Redação antes da exportação entre limites
- -IDs de correlação para auditoria
- -Sem exfiltração obrigatória de logs completos
Governança corporativa
A assinatura de cápsulas, a aprovação humana e os portões de remediação se aplicam de forma uniforme, esteja a execução em VMs, bare metal ou Kubernetes.
- -Versão da política vinculada às execuções
- -Cadeias de aprovação para caminhos de produção
- -Integração com registros de mudança do ITSM
- -Exportação para GRC e auditoria interna
Padrões de arquitetura híbrida
A execução em Kubernetes frequentemente coexiste com runners de VPC, sites de edge e agentes de endpoint sob um único plano de controle.
- -Grafo único e orquestração de frota
- -Modelo de cápsula consistente entre superfícies
- -Políticas de evidência por superfície
- -A revisão de arquitetura define a ordem de implementação
Perguntas sobre implantação local (on-prem)
Perguntas comuns das equipes de infraestrutura e segurança.
Discuta uma implantação segura com a Zof
Revise a segmentação, a governança de cápsulas e o posicionamento de runners com equipes que apoiam empresas reguladas.
