Техническая спецификация комплаенс-шлюза Braint
Полное руководство по развертыванию, конфигурированию и бесшовной интеграции On-Premise прокси-нод Braint в закрытые корпоративные контуры предприятия.
1.1. Системные требования к оборудованию
Локальный программный стек оптимизирован для работы в изолированных средах виртуализации и контейнеризации. Аппаратные требования разделены в зависимости от целевой архитектуры инференса модулей анонимизации:
| Параметр ноды | Режим CPU-Only (Базовый) | Режим GPU-Ускорения (Высокие нагрузки) |
|---|---|---|
| Процессор (vCPU) | Минимум: 4 ядра Рекомендуется: 8 ядер |
Минимум: 4 ядра vCPU хоста |
| Оперативная память (RAM) | Минимум: 8 ГБ Рекомендуется: 16 ГБ |
Минимум: 8 ГБ RAM хоста |
| Видеопамять (VRAM) | Не требуется | Минимум: 4 ГБ VRAM (NVIDIA T4, RTX 3060/4060, A10G/A100) |
| Диск (SSD NVMe) | Минимум: 15–20 ГБ свободного места | Минимум: 15–20 ГБ свободного места |
* Обоснование дискового пространства: Объем включает базовые легковесные слои контейнеров, локально примонтированные тома с весами национальных комплаенс-моделей (казахский лингвистический слой и мультиязычный NER-модуль), а также встроенный отказоустойчивый пул локального хранения аудит-логов транзакций.
1.2. Регламент первичной установки и развертывания
Для инициализации шлюза в закрытом контуре необходимо развернуть оркестрированный Docker-манифест. В зависимости от выбранного режима вычислений, перед запуском контейнеров необходимо соблюсти следующие требования к софту хост-сервера:
При развертывании в режиме CPU-Only:
Убедитесь, что на хост-машине установлены актуальные версии Docker Engine и Docker Compose. Локальные модули токенизатора автоматически скомпилируют C-зависимости под векторные инструкции вашего центрального процессора.
При развертывании в режиме GPU-Ускорения:
Строго обязательна предварительная установка пакета **NVIDIA Container Toolkit (nvidia-docker2)** на хост-сервер. Без данного инструментария изолированная среда Docker не сможет получить доступ к CUDA-ядрам графического чипа хоста. В runtime-конфигурации контейнера бэкенда должен быть явно объявлен проброс ресурсов GPU.
2.1. Бесшовная интеграция и формат REST API
Шлюз функционирует как прозрачный комплаенс-прокси и общается с клиентскими приложениями (CRM, ERP, внутренние чат-платформы) по стандартному протоколу REST. Спецификация обмена полностью обратно совместима со структурой популярных мировых ИИ-библиотек и SDK.
**Упрощенное переключение контура:** Разработчикам вашей компании не требуется переписывать или модифицировать внутреннюю логику вызова ИИ-функций в программном коде приложений. Достаточно изменить системную константу базового адреса (Base URL) в конфигурации SDK:
2.2. Спецификация эндпоинта обмена сообщениями
Принимает входящее текстовое тело запроса (application/json), производит мгновенную семантическую стерилизацию и контекстное маскирование чувствительных данных внутри защищенного периметра, после чего транслирует очищенный контекст на единственный разрешенный Firewall-правилами внешний эндпоинт LLM.
{
"message": "Промпт сотрудника с ПДн",
"session_id": "string"
}
{
"choices": [
{ "text": "Восстановленный ответ ИИ" }
]
}
3.1. Регламент In-Memory Vault изоляции данных
Для обеспечения максимального уровня комплаенса и исключения возможности компрометации данных при физическом извлечении накопителей из серверных стоек хоста, шлюз Braint полностью отказывается от записи временных таблиц токенизации на жесткие диски (SSD/HDD) в открытом виде.
Связка `Токен <-> Исходные персональные данные` удерживается исключительно внутри резидентной оперативной памяти (In-Memory Isolation). В конфигурации внутреннего хранилища кэша строго зафиксирована жесткая политика вытеснения устаревших данных по лимиту объема выделенной RAM-памяти. При несанкционированном отключении питания, экстренной остановке ноды или уничтожении Docker-контейнера оперативная память мгновенно и безвозвратно обнуляется, предотвращая появление ПДн-следов.
3.2. Автономность и изоляция сетевого контура
Ядро локального искусственного интеллекта шлюза спроектировано для функционирования в условиях жестких ограничений и полного отсутствия доступа к глобальной сети Интернет.
Запуск контейнеров в режиме `TRANSFORMERS_OFFLINE=1` намертво блокирует любые внешние сетевые вызовы локальных комплаенс-моделей. Все необходимые веса, словари и синтаксические библиотеки предварительно загружены и примонтированы к изолированным внутренним томам Docker. Внешний периметр шлюза открывает наружу исключительно рабочий порт 8000 и осуществляет обмен трафиком только по двум строго регламентированным ИБ-векторам сетевых маршрутов: прием REST-запросов из внутренней корпоративной подсети и отправка очищенных пакетов на доверенный внешний IP-адрес API-провайдера LLM.