跳到主要内容
§00 / 主权

数据不离开边界。

HA.Prizma 完整部署在你的边界内,从网关到审计存储。在你的边界内 · 尽在你的掌控 · 具备可证明的审计。

perimeter

完全在你的边界内

任何 prompt、文档或密钥都不会离开你的网络。

  • 在你自己的硬件上运行 Docker Compose 或 Kubernetes
  • 设计上没有 SaaS 模式
  • 控制平面与模型部署在一起
air-gap

可在 air-gap 中运行

可部署在无互联网出口的隔离网段中。

  • 基于 Ed25519 签名的离线 license
  • 由内置公钥校验
  • 安装与运行期间零 call-home
degrade

Degrade, never brick

license 过期或缺失都不会削弱防护。

  • 关键路径不依赖 license
  • 网关、DLP、审计、kill-switch 始终工作
  • license 仅限制可选功能
§01 / Quickstart

从分发包到可用网关,仅需四步。

交付物从私有 registry 进入你的边界,一行配置即可把流量导向网关,编排将同一套栈带入集群。初始环境的启动只需 约 2 分钟,每个工具的接入只需 约 30 秒.

  1. [01]

    分发包进入你的边界

    镜像与 chart 依据 license 从私有 registry 直接进入你的边界。不会从任何公共源拉取。

  2. [02]

    一行配置

    任何 OpenAI 或 Anthropic 兼容的客户端都无需改动代码即可走网关:只需更改 API 地址。

  3. [03]

    编排

    同一套栈通过标准编排部署到集群。环境变量可覆盖 registry、标签、密钥与 ingress 主机。

  4. [04]

    工具约 30 秒接入

    开发者自助接入 CLI 或 IDE 工具,无需工单。DLP、预算与审计立即生效。

§02 / HA 与运维

经故障演练检验的容错能力。

生产级拓扑,具备自动 failover、时间点恢复与开箱即用的可观测性。

0 数据丢失
自动 failover

经计划内故障演练验证

开箱即用
指标与告警

Grafana 仪表盘与告警

LB 应用 数据 可观测性 备份 Traefik · HAProxy 路由到 leader · TLS Backend · 1 网关 · DLP · 审计 Backend · 2 网关 · DLP · 审计 Postgres · master Patroni Postgres · replica 热备 etcd 法定人数 3/3 Redis Sentinel 3 · m/replica Prometheus 自动扩缩器 Grafana 指标 · 告警 WAL 归档 持续 PITR · 备份 任意时间点 S3 · MinIO off-host 流式复制 流量 primary 故障时自动将负载切换到 replica,且不丢失数据。
  • PostgreSQL · Patroni + etcd + HAProxy

    primary 故障不会拖垮控制平面:etcd 以法定人数维持共识,HAProxy 转发到当前 leader。计划内故障演练已验证自动 failover 且不丢失数据。

  • Redis · Sentinel

    缓存与 pub/sub 可挺过节点宕机。Sentinel 法定人数执行自动 failover;kill-switch 与 rate-limit 继续下发。

  • PITR · WAL 归档

    事故后可回滚到指定时间点。WAL 持续归档到 off-host 的 S3 兼容存储 MinIO,可恢复到任意时刻。

  • 基于 Prometheus 的自动扩缩器

    吞吐随负载伸缩。在实际环境中,worker 依据流水线指标 1 → 5 → 1 自动伸缩,无需人工干预。

§03 / 集成

工具接入仅需 约 30 秒.

一个网关面向 12 个 CLI 与 IDE 工具:一行配置或自助连接器。DLP、预算与审计立即生效。

curl https://gw.prizma/install/claude | sh

每个工具约 30 秒 · 无需 SDK

输出通道

VS Code 扩展

editor

编辑器内的 DLP linter 与 clipboard-guard

MCP Gateway

mcp

agents 的 tools 调用同样经过 DLP 与审计

n8n 节点

workflow

no-code 流水线中的 LLM 调用

Webhooks

alerts

DLP · kill-switch · 预算 → Slack / Teams / Telegram

SIEM · CEF / syslog

siem

CEF 与 syslog 导出 · 与 Splunk 端到端验证

自助连接器

cli

用 curl 安装 CLI,无需工单

§04 / Network enforcement

任何 AI 工具都必须走网关。

三层网络强制不给任何绕过 DLP 与审计、直连云端的通路,即便是安全团队尚不知晓的工具也不例外。

shadow-ai detection

未认证流量不会被盲目阻断:它首先是可见的。

匿名客户端通过 fingerprint(IP + UA)识别。策略:block、monitor 或 allow。可一步将某客户端转为正式用户(provisioning)。如此便能在首次事故之前发现 shadow AI 使用。

  1. 01

    PAC 文件

    Proxy auto-config 将发往 api.openai.com / api.anthropic.com 及其他提供方的全部流量导向网关。

  2. 02

    DNS override

    内部解析器将提供方域名指向 HA.Prizma,通过直连域名绕过的通路被封闭。

  3. 03

    Firewall rules

    通往模型 API 的 egress 仅允许来自网关;工作站的直接出口在边界处被阻断。

准备好了吗?

全部 AI 流量尽在你的掌控

部署在你边界内的 self-hosted LLM Firewall。仅需一行 base_url,任何 prompt 都不会直接外流。

sales@hackadvisor.io 可签署 NDA · 一个工作日内回复