操作和部署
部署在任何地方。證明一切。
對 Docker、Compose、ECS、Nomad 和 SSH/WinRM 的一流支援。所有部署均為按設計無代理(Docker 映像即執行時)。100% 離線操作,具有主權加密配置文件。
這對您的業務意味著什麼
部署到任何 Linux 或 Windows 伺服器,無需 Kubernetes、代理或雲端依賴。Stella 處理回滾、金絲雀晉升和每個目標的證據匯出。
您在這裡操作的內容
圖像掃描
每個容器映像的SBOM生成、CVE匹配、VEX語句管理。
可達性過濾
靜態、明顯和運行時分析,以區分可利用風險和理論風險。
版本升級
通過具有完全可追溯性的策略門在環境之間移動映像。
漸進式交付
A/B 測試、canary、blue/green 部署,以及跨目標的即時 rollback。
證據導出
決策膠囊捆綁所有輸入、策略和判決以進行審核和合規性。
離線操作
氣隙站點可接收簽名更新套件,並在無網路存取下持續維持發布控制。
首先是非Kubernetes
大多數 CD 工具將非 Kubernetes 視為事後考量。Stella 將其作為主要用例——所有目標均為按設計無代理。
Docker 主持人
將容器直接部署到 Docker 主機。
Docker Compose
多容器應用程序部署。
AWS ECS
ECS 和 Fargate 任務部署。
HashiCorp Nomad
Nomad 作業部署和更新。
SSH 目標
透過 SSH 的 Linux/Unix 目標。
WinRM 目標
透過 WinRM 的 Windows 目標。
無限部署目標所有定價層
Digest-first 發布身分
每個版本都由其內容摘要標識,而不是可變標籤。這保證了掃描的內容就是部署的內容,審核的內容就是實際運行的內容。
不可變身份
sha256 摘要確保升級的工件與掃描和批准的工件字節相同。
來源鏈
每次升級都會在簽名中記錄源摘要、策略版本和批准證據證明。
部署模式
A/B 測試
將一定比例的流量路由到新版本。在提交之前比較指標。
金絲雀版本
首先部署到一小部分目標。健康檢查失敗時自動回滾。
Blue/Green
並行運行新舊版本。準備好後自動切換流量。
即時回滾
恢復到任何以前的摘要驗證版本。保留前進和後退的證據線索。
100%離線操作
核心決策無需外部依賴即可發揮作用。漏洞源和證據驗證完全在您的邊界內進行。
離線更新套件
包含氣隙操作所需的一切的簽名捆綁包。
- → 來自 33 個以上來源的漏洞源
- → 所有組件的容器映像
- → 出處數據和SBOMs
- → 用於高效傳輸的增量更新
無需外部出口
每個操作都在主權內部進行網絡。
- → 本地漏洞數據庫
- → 離線簽名驗證
- → 無需網絡的確定性重放
- → 無強制遙測(僅選擇加入)
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
驗證套件簽名... OK
匯入漏洞 feeds... 已更新 33 個來源
匯入容器映像... 已載入 12 個映像
匯入 provenance 資料... OK
Offline Kit 匯入成功
知識快照:2026-01-20T00:00:00Z
建議下次更新:2026-01-27主權加密配置文件
可插入的加密配置文件,以實現區域合規性。選擇您的算法,無需更改工作流程。
FIPS聯邦資訊處理標準 - 美國政府用於安全系統的加密標準 · GOST俄羅斯國家加密標準(GOST R 34.10/34.11),政府系統必需 · SM2中國國家公鑰密碼標準(商密套件的一部分),受監管產業必需 · eIDAS電子身分認證和信任服務 - 歐盟電子簽章和信任服務法規 · PQC後量子密碼學 - 設計用於抵抗量子電腦攻擊的加密演算法
| 配置文件 | 算法 | 用例 |
|---|---|---|
| 預設 | Ed25519, ECDSA P-256, SHA-256 | 標準部署 |
FIPS聯邦資訊處理標準 - 美國政府用於安全系統的加密標準 140-2/3(對齊) | ECDSA P-384, SHA-384 | 美國聯邦/FedRAMP |
GOST俄羅斯國家加密標準(GOST R 34.10/34.11),政府系統必需 R 34.10 | GOST俄羅斯國家加密標準(GOST R 34.10/34.11),政府系統必需 R 34.10-2012, Streebog | 獨聯體地區合規性 |
SM2中國國家公鑰密碼標準(商密套件的一部分),受監管產業必需/SM3 | SM2中國國家公鑰密碼標準(商密套件的一部分),受監管產業必需, SM3 | 中國國家標準 |
eIDAS電子身分認證和信任服務 - 歐盟電子簽章和信任服務法規 | RSA-PSS, ECDSA (QES) | eIDAS電子身分認證和信任服務 - 歐盟電子簽章和信任服務法規 相容簽名 |
| Dilithium | ML-DSA (Dilithium) | 後量子面向未來 |
HSM/PKCS#11 集成
用於密鑰存儲和簽名操作的硬件安全模塊。
多配置文件簽名
使用多種算法對同一工件進行跨管轄區合規性簽名。
基礎設施集成
HashiCorp避難所
用於部署的秘密注入。
HashiCorp領事
服務註冊表集成。
容器註冊表
Docker Hub、Harbor、ECR、GCR、ACR。
SCM webhooks
GitHub、GitLab、Bitbucket 觸發器。
通知
Slack、Teams、電子郵件、PagerDuty、OpsGenie。
插件系統
自定義連接器和工作流程步驟。
平台需求
支援的作業系統
- → Ubuntu 20.04, 22.04, 24.04 LTS
- → RHEL/CentOS 8, 9
- → Debian 11, 12
- → Amazon Linux 2, 2023
- → Windows Server 2019, 2022
- → Alpine 3.18+ (containers)
容器登錄庫
- → Docker Hub
- → AWS ECR (incl. ECR Public)
- → Google Artifact Registry / GCR
- → Azure Container Registry
- → GitHub Container Registry
- → Harbor, Nexus, JFrog Artifactory
- → 任何
OCI開放容器計畫 — 容器映像格式和登錄中心的業界標準相容的登錄庫
規模建議
- → 每個實例最多 100 個環境
- → 每個環境最多 1,000 個目標
- → 50 個並發部署
- → 支援每月 10,000+ 次掃描
- → 透過 HA 模式水平擴展
- → 支援多區域聯邦
更大規模請聯絡銷售
最低需求
4 vCPU、8 GB RAM、50 GB 儲存。Docker 20.10+ 或 Podman 4.0+。
生產建議
8 vCPU、16 GB RAM、200 GB SSD。HA 需 PostgreSQL 14+。
部署架構
單節點部署
Docker Compose 用於評估和小型團隊。
- 最低 2 個 vCPU、2 GiB RAM
- PostgreSQL 16+、Valkey 8.0+
- 10 GiB SSD 用於緩存和證據
高可用性部署
生產的水平擴展工作負載。
- 多副本API和工作人員
- Kubernetes Helm 圖表可用
- 企業專用容量
生產經營盡職調查
在生產推出之前,使用此清單來確定運營工作的範圍。 Stella Ops Suite 目前處於封閉測試階段,因此大多數團隊首先運行試點,然後強化到 HA。
| 拓撲結構 | 控制平面 | 數據平面 | 典型用途 |
|---|---|---|---|
| 飛行員 | 具有一個工作池的單節點服務 | 單個 Postgres、單個對象存儲、單個隊列/緩存 | 評估和政策調整 |
| 生產基線 | LB 背後的冗餘 API/控制平面節點 | 具有備份、持久對象存儲、複製隊列/緩存的託管 Postgres | 穩態發布治理 |
| 醫管局和監管 | 跨故障域的多節點控制平面 | HA 數據庫、不可變證據存儲、經過測試的恢復演練 | 關鍵環境和審計繁重的工作負載 |
備份和恢復
為 Postgres 和證據對象存儲定義 RPO/RTO。通過簽名的膠囊重放來驗證恢復,而不僅僅是服務運行狀況檢查。
升級與回滾
通過非生產和生產之間的摘要來促進平台更新。保留最後已知的良好摘要和操作手冊以實現快速回滾。
行動證據
跟踪每次升級的變更窗口、批准者和導出的證據包,以便採購和審計團隊可以驗證操作紀律。
準備好主權部署了嗎?
從安裝指南或離線套件開始。