完全在你的边界内
任何 prompt、文档或密钥都不会离开你的网络。
- 在你自己的硬件上运行 Docker Compose 或 Kubernetes
- 设计上没有 SaaS 模式
- 控制平面与模型部署在一起
HA.Prizma 完整部署在你的边界内,从网关到审计存储。在你的边界内 · 尽在你的掌控 · 具备可证明的审计。
任何 prompt、文档或密钥都不会离开你的网络。
可部署在无互联网出口的隔离网段中。
license 过期或缺失都不会削弱防护。
交付物从私有 registry 进入你的边界,一行配置即可把流量导向网关,编排将同一套栈带入集群。初始环境的启动只需 约 2 分钟,每个工具的接入只需 约 30 秒.
镜像与 chart 依据 license 从私有 registry 直接进入你的边界。不会从任何公共源拉取。
任何 OpenAI 或 Anthropic 兼容的客户端都无需改动代码即可走网关:只需更改 API 地址。
同一套栈通过标准编排部署到集群。环境变量可覆盖 registry、标签、密钥与 ingress 主机。
开发者自助接入 CLI 或 IDE 工具,无需工单。DLP、预算与审计立即生效。
生产级拓扑,具备自动 failover、时间点恢复与开箱即用的可观测性。
经计划内故障演练验证
Grafana 仪表盘与告警
primary 故障不会拖垮控制平面:etcd 以法定人数维持共识,HAProxy 转发到当前 leader。计划内故障演练已验证自动 failover 且不丢失数据。
缓存与 pub/sub 可挺过节点宕机。Sentinel 法定人数执行自动 failover;kill-switch 与 rate-limit 继续下发。
事故后可回滚到指定时间点。WAL 持续归档到 off-host 的 S3 兼容存储 MinIO,可恢复到任意时刻。
吞吐随负载伸缩。在实际环境中,worker 依据流水线指标 1 → 5 → 1 自动伸缩,无需人工干预。
一个网关面向 12 个 CLI 与 IDE 工具:一行配置或自助连接器。DLP、预算与审计立即生效。
curl https://gw.prizma/install/claude | sh 每个工具约 30 秒 · 无需 SDK
编辑器内的 DLP linter 与 clipboard-guard
agents 的 tools 调用同样经过 DLP 与审计
no-code 流水线中的 LLM 调用
DLP · kill-switch · 预算 → Slack / Teams / Telegram
CEF 与 syslog 导出 · 与 Splunk 端到端验证
用 curl 安装 CLI,无需工单
三层网络强制不给任何绕过 DLP 与审计、直连云端的通路,即便是安全团队尚不知晓的工具也不例外。
未认证流量不会被盲目阻断:它首先是可见的。
匿名客户端通过 fingerprint(IP + UA)识别。策略:block、monitor 或 allow。可一步将某客户端转为正式用户(provisioning)。如此便能在首次事故之前发现 shadow AI 使用。
Proxy auto-config 将发往 api.openai.com / api.anthropic.com 及其他提供方的全部流量导向网关。
内部解析器将提供方域名指向 HA.Prizma,通过直连域名绕过的通路被封闭。
通往模型 API 的 egress 仅允许来自网关;工作站的直接出口在边界处被阻断。
部署在你边界内的 self-hosted LLM Firewall。仅需一行 base_url,任何 prompt 都不会直接外流。