Операции и развёртывание
Развёртывайте где угодно. Доказывайте всё.
Полноценная поддержка Docker, Compose, ECS, Nomad и SSH/WinRM. Все развёртывания безагентные по замыслу (Docker-образ — это runtime). 100% офлайн-работа с суверенными крипто-профилями.
Что это значит для вашего бизнеса
Разворачивайте на любом сервере Linux или Windows без Kubernetes, агентов и облачных зависимостей. Пакет „Стела“ выполняет откаты, канареечное продвижение и экспорт доказательств для каждой цели.
Чем вы здесь управляете
Сканирование образа
генерация SBOM, сопоставление CVE, управление операторами VEX для каждого образа контейнера.
Фильтрация по достижимости
Статический анализ, анализ манифеста и времени выполнения для отделения потенциального риска от теоретического риска.
Продвижение релиза
Продвигайте образы между средами через шлюзы политик с полной отслеживаемостью.
Прогрессивная доставка
A/B-тесты, канареечные, поэтапные и сине-зелёные развёртывания с мгновенным откатом по целям.
Экспорт доказательств
Капсулы решений объединяют все входные данные, политики и вердикты для аудита и соответствия требованиям.
Автономная работа
Изолированные площадки получают подписанные наборы обновлений и сохраняют контроль релизов без доступа в интернет.
Приоритет не-Kubernetes
Большинство CD-инструментов относятся к не-Kubernetes как к второстепенной задаче. Пакет „Стела“ рассматривает это как основной сценарий — и все цели безагентные по замыслу.
Docker Хост
Прямое развёртывание контейнеров на Docker-хосты.
Docker Compose
Развёртывание многоконтейнерных приложений.
АВС ECS
Развёртывание задач ECS и Fargate.
HashiCorp Nomad
Развёртывание и обновление заданий Nomad.
SSH цели
Linux/Unix-цели по SSH.
WinRM цели
Windows-цели по WinRM.
Неограниченное количество целей развёртывания на всех тарифах
Digest-first идентичность релиза
Каждый выпуск идентифицируется по дайджесту контента, а не по изменяемому тегу. Это гарантирует, что то, что было просканировано, будет развернуто, а проверенное — то, что действительно было выполнено.
Неизменяемая личность
Дайджесты sha256 гарантируют, что продвигаемый артефакт побайтово идентичен артефакту, отсканированному и утвержденному.
Цепочка происхождения
Каждое продвижение записывает исходный дайджест, версию политики и свидетельства утверждения в подписанном подтверждении.
Шаблоны развертывания
A/B-тестирование
Направляйте долю трафика на новую версию и сравнивайте метрики до полного переключения.
Канареечный релиз
Сначала выполните развертывание на небольшом подмножестве целей. Автоматический откат в случае сбоя проверки работоспособности.
Сине-зелёное развёртывание
Запускайте старые и новые версии параллельно. Переключайте трафик атомарно, когда будете готовы.
Мгновенный откат
Вернитесь к любой предыдущей версии, проверенной дайджестом. Доказательные следы сохранились как вперед, так и назад.
100% офлайн-работа
Основные решения работают без внешних зависимостей. Фиды уязвимостей и верификация доказательств полностью внутри вашего периметра.
Офлайн-комплект обновлений
Подписанный пакет со всем необходимым для air-gap работы.
- → Фиды уязвимостей из 33+ источников
- → Образы контейнеров для всех компонентов
- → Данные провенанса и
SBOMSoftware Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО - → Дельта-обновления для эффективной передачи
Внешний трафик не требуется
Все операции работают внутри суверенных сетей.
- → Локальная база уязвимостей
- → Офлайн-верификация подписей
- → Детерминированное воспроизведение без сети
- → Нет обязательной телеметрии (только по согласию)
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
Проверка подписи пакета... OK
Импорт фидов уязвимостей... 33 источника обновлены
Импорт контейнерных образов... 12 образов загружены
Импорт данных provenance... OK
Offline Kit успешно импортирован
Снимок знаний: 2026-01-20T00:00:00Z
Следующее обновление рекомендуется: 2026-01-27Суверенные крипто-профили
Подключаемые криптографические профили для регионального комплаенса. Выбирайте алгоритмы без изменения рабочего процесса.
FIPSFederal Information Processing Standards – криптографические стандарты правительства США для безопасных систем · GOSTРоссийские национальные криптографические стандарты (ГОСТ Р 34.10/34.11), обязательные для государственных систем · SM2Китайский национальный стандарт криптографии с открытым ключом (часть набора ShangMi), обязательный для регулируемых отраслей · eIDASElectronic IDentification, Authentication and trust Services – регламент ЕС для электронных подписей и доверенных служб · PQCПостквантовая криптография – криптографические алгоритмы, устойчивые к атакам квантовых компьютеров
| Профиль | Алгоритмы | Применение |
|---|---|---|
| По умолчанию | Ed25519, ECDSA P-256, SHA-256 | Стандартные развёртывания |
FIPSFederal Information Processing Standards – криптографические стандарты правительства США для безопасных систем 140-2/3 (совместимость) | ECDSA P-384, SHA-384 | Федеральные США / FedRAMP |
GOSTРоссийские национальные криптографические стандарты (ГОСТ Р 34.10/34.11), обязательные для государственных систем R 34.10 | GOSTРоссийские национальные криптографические стандарты (ГОСТ Р 34.10/34.11), обязательные для государственных систем R 34.10-2012, Streebog | Комплаенс региона СНГ |
SM2Китайский национальный стандарт криптографии с открытым ключом (часть набора ShangMi), обязательный для регулируемых отраслей/SM3 | SM2Китайский национальный стандарт криптографии с открытым ключом (часть набора ShangMi), обязательный для регулируемых отраслей, SM3 | Китайские национальные стандарты |
eIDASElectronic IDentification, Authentication and trust Services – регламент ЕС для электронных подписей и доверенных служб | RSA-PSS, ECDSA (QES) | Квалифицированные подписи ЕС |
| Dilithium | ML-DSA (Dilithium) | Пост-квантовая защита на будущее |
Интеграция HSM/PKCS#11
Аппаратные модули безопасности для хранения ключей и операций подписания.
Мульти-профильное подписание
Подписывайте один артефакт несколькими алгоритмами для кросс-юрисдикционного комплаенса.
Интеграция с инфраструктурой
Хранилище ХашиКорп
Внедрение секретов при развёртывании.
Консул ХашиКорп
Интеграция с реестром сервисов.
Реестры контейнеров
Docker Hub, Гавань, ECR, GCR, ACR.
SCM-вебхуки
Триггеры GitHub, GitLab, Bitbucket.
Уведомления
Slack, Teams, электронная почта, PagerDuty, OpsGenie.
Система плагинов
Кастомные коннекторы и шаги рабочих процессов.
Требования к платформе
Поддерживаемые ОС
- → Ubuntu 20.04, 22.04, 24.04 LTS
- → RHEL/CentOS 8, 9
- → Debian 11, 12
- → Amazon Linux 2, 2023
- → Windows Server 2019, 2022
- → Alpine 3.18+ (containers)
Реестры контейнеров
- → Docker Hub
- → AWS ECR (incl. ECR Public)
- → Google Artifact Registry / GCR
- → Azure Container Registry
- → GitHub Container Registry
- → Harbor, Nexus, JFrog Artifactory
- → Любой реестр, совместимый с
OCIOpen Container Initiative — отраслевой стандарт форматов образов контейнеров и реестров
Рекомендации по масштабу
- → До 100 окружений на инстанс
- → До 1 000 целей на окружение
- → 50 параллельных развёртываний
- → Поддерживается 10 000+ сканов/месяц
- → Горизонтальное масштабирование через HA режим
- → Доступна федерация в нескольких регионах
Свяжитесь с продажами для более крупных внедрений
Минимальные требования
4 vCPU, 8 GB RAM, 50 GB storage. Docker 20.10+ или Podman 4.0+.
Рекомендуемо для production
8 vCPU, 16 GB RAM, 200 GB SSD. PostgreSQL 14+ для HA-развёртываний.
Архитектура развёртывания
Однонодовое развёртывание
Docker Compose для оценки и небольших команд.
- Минимум 2 vCPU, 2 ГиБ RAM
- PostgreSQL 16+, Валкей 8.0+
- 10 ГиБ SSD для кеша и доказательств
Высокодоступное развёртывание
Горизонтальное масштабирование для продакшн-нагрузок.
- Многореплицированные API и воркеры
- Доступны Kubernetes Helm-чарты
- Выделенные мощности для enterprise
Комплексная проверка производственных операций
Используйте этот контрольный список для определения объема операционных усилий перед развертыванием производства. Stella Ops Suite в настоящее время находится на стадии закрытой альфа-версии, поэтому большинство команд сначала запускают пилотную версию, а затем переходят к высокой доступности.
| Топология | Плоскость управления | Плоскость данных | Типичное использование |
|---|---|---|---|
| Пилот | Одноузловые сервисы с одним рабочим пулом | Один Postgres, одно хранилище объектов, одна очередь/кэш | Оценка и настройка политики |
| Базовый уровень производства | Резервные узлы API/плоскости управления за LB | Управляемый Postgres с резервными копиями, надежным хранилищем объектов, реплицированной очередью/кешем | Управление устойчивым выпуском |
| HA и регулируется | Многоузловая плоскость управления в доменах отказов | База данных высокой доступности, неизменяемое хранилище доказательств, проверенные упражнения по восстановлению | Критические среды и рабочие нагрузки, требующие большого объема аудита |
Резервное копирование и восстановление
Определите RPO/RTO для Postgres и докажите хранилище объектов. Подтверждайте восстановление с помощью подписанного капсульного повтора, а не только проверки работоспособности сервиса.
Обновление и откат
Продвигайте обновления платформы, распределяя между непроизводственными и производственными ресурсами. Сохраняйте последние удачные дайджесты и книги выполнения для быстрого отката.
Оперативные доказательства
Отслеживайте окна изменений, утверждающих лиц и экспортированные пакеты доказательств для каждого обновления, чтобы группы закупок и аудита могли проверить рабочую дисциплину.
Готовы к суверенному развёртыванию?
Начните с руководства по установке или Офлайн-комплекта.