Despliegue
Ejecuta todo el plano de control aislado de la red.
Entrega de mega-tarball firmado, tokens de licencia JWS, CA interna de Caddy: cero dependencias externas. Nada se comunica con el exterior. Ninguna telemetría sale de tu red.
Public internet
- Download signed tarball
- Receive licence JWS
- (One-way · then disconnected)
Your air-gapped network
- Verify tarball signature
- Validate licence JWS offline
- Caddy internal CA · self TLS
- Postgres · brain · daemons
- SIEM push to internal sinks
Cómo funciona
1
Descarga el tarball firmado
En un host conectado: un único archivo de ~140 MB, firmado con Ed25519.
2
Transfiérelo a través del aislamiento
USB, diodo unidireccional, espejo interno: tú eliges.
3
Verifica firma + licencia
El script de instalación comprueba la firma del tarball contra la clave pública incluida. La licencia JWS se valida localmente, sin ninguna llamada de retorno.
4
Instala · CA interna
Caddy emite certificados TLS internos desde una CA con raíz propia. Sin Let's Encrypt, sin ACME.
Análisis a fondo
Entrega firmada
Cada tarball está firmado con Ed25519 por nuestra clave de versión. La clave pública viene con el instalador: un espejo comprometido no puede colarte una compilación maliciosa.
Licencia como JWS
Una JSON Web Signature autocontenida: límites de asientos, caducidad, funciones. Se verifica localmente contra nuestra clave pública de emisor de licencias. Sin necesidad de comunicarse con el exterior.
CA interna
Caddy arranca su propia CA raíz en la primera instalación. El TLS entre servicios usa solo certificados internos: sin ACME público, sin raíces de confianza de internet.
Instalación
shell · air-gap install
# On connected host — download signed tarball
$ curl -fsSLO https://releases.example.com/v0.9.2.tar.xz
# Transfer the bundle across the gap, then on the target host:
$ synaptyx-install \
--tarball v0.9.2.tar.xz \
--license-file acme-airgap.jws
✓ Bundle MANIFEST signature verified (ed25519:b3:9f8c…3a4e)
✓ License valid · 247 days remaining
✓ Caddy internal CA bootstrapped
✓ Services running — open https://synaptyx.acme.internal
Nada se comunica con el exterior.
Sin telemetría, sin ping de analítica, sin comprobación de actualizaciones automáticas. El plano de control funciona igual esté el cable conectado o no. Para gobierno / finanzas / defensa, esto es innegociable, y lo construimos así desde el primer día.
Comparativa
| Synaptyx | Competidores solo SaaS | Autoalojado con deps externas | |
|---|---|---|---|
| Cero internet requerido | 100 % | solo en la nube | necesita ACME / DNS / docker hub |
| Entrega firmada | tarball Ed25519 | N/D | imagen docker · quizá firmada |
| Licencia offline | JWS · verificación local | comprobación de suscripción | llamada al servidor de licencias |
| CA interna | arranque de Caddy | certificado del proveedor | trae tu propia PKI |
| Sin telemetría | verificable | siempre | depende del stack |
Preguntas frecuentes
Igual que la instalación: descarga el nuevo tarball firmado en un host conectado, transfiérelo y ejecuta synaptyx-install --upgrade-from <nuevo-tarball>. Las migraciones vienen incluidas y son idempotentes, con una instantánea previa a la actualización para revertir.
Emitimos una JWS nueva; la transfieres a través del aislamiento y ejecutas synaptyx-license install --license acme-airgap-2027.jws. Un período de gracia cubre el retraso de la transferencia.
Linux x86_64 o arm64. 4 núcleos · 16 GB de RAM · 100 GB de SSD para el brain. GPU opcional para embeddings autoalojados. Postgres 15+. Probado en RHEL 8/9, Ubuntu 22.04+, Debian 12, SUSE 15.
Sí, ese es el eje del diseño. Construido para defensa, finanzas y gobierno desde el primer día. SOC 2 (en curso), DPA a petición, FedRAMP en la hoja de ruta de Enterprise.
¿Listo para gobernar tu infraestructura de IA?
Solicita acceso en minutos, o habla con nosotros sobre tu despliegue aislado de la red.