Integrace a nasazení

OmegaOS™ Kernel se nasazuje jako overlay na Vaši stávající infrastrukturu.
Žádná migrace. Žádné změny aplikačního kódu v běžném případě. Zaznamenávání důkazů od prvního dne.

Overlay, nikoli náhrada

OmegaOS™ Kernel nenahrazuje Vašeho poskytovatele identit, Vaši API bránu ani Váš policy decision point. Obaluje je. Vytváří jednotnou vrstvu důkazů, kde je každá autorizace vyhodnocena, zaznamenána a ověřitelná.

Váš stávající PDP pokračuje v provozu. OmegaOS™ Kernel zaznamenává, co rozhodl, přidává třístavovou evaluaci a produkuje exportovatelné evidence packy.

Klasifikace: Suverénní rozhodovací infrastruktura. Overlay pro autorizační infrastrukturu.
Funkce: Zaznamenává autorizační rozhodnutí s úplnou linií důkazů. Exportuje evidence packy s SHA-256 integritními hashi a volitelnou Ed25519 atestací (při poskytnutí podpisových klíčů).
Vztah: Obaluje Váš stávající PDP (OPA, Cedar, vlastní). Přidává zaznamenávání důkazů a třístavovou detekci konfliktů.
Nasazení: Overlay. Žádná náhrada stávajících systémů. Žádné změny aplikačního kódu; může být nutné nastavení brány a směrování.

Architektura overlay

OmegaOS™ Kernel se nasazuje na Váš stávající stack. Nenahrazuje — obaluje.

Vaše aplikace Služby konzumují rozhodnutí prostřednictvím brány

OmegaOS™ Kernel — Evidence Runtime Třístavová evaluace · Zaznamenávání důkazů · Export důkazů

Vaše infrastruktura Poskytovatelé identit · API brány · Databáze · Stávající PDP

Žádná migrace. OmegaOS™ Kernel nejprve pozoruje Vaše stávající autorizační toky. Zaznamenává, co Váš aktuální systém rozhodne. Když jste připraveni, zavádí třístavovou evaluaci vedle — nikoli namísto — Vašeho stávajícího PDP. V závislosti na vzoru nasazení může být nutné nastavení brány a směrování.

Režim Shadow

Porovnejte rozhodnutí OmegaOS™ Kernel s Vaším stávajícím PDP v reálném čase. Identifikujte nesoulady před vynucením.

Detekce nesouladů

V režimu shadow brána vyhodnocuje každý požadavek jak přes Váš upstream PDP, tak přes resolyční motor OmegaOS™ Kernel. Vrací verdikt Vašeho PDP volajícímu — bez narušení — ale zaznamenává oba výsledky a označuje jakýkoli nesoulad.

Nesoulady jsou počítány v Prometheus metrikách (upstream_del_mismatches) a zahrnuty v odpovědi rozhodnutí. To Vám dává přesnou míru divergence před přepnutím do režimu enforce.

Metrika	Význam
Match	PDP a OmegaOS™ Kernel se shodují na výsledku
Mismatch	PDP a OmegaOS™ Kernel se neshodují — označeno pro přezkum
Conflict	OmegaOS™ Kernel detekuje rozporuplné důkazy (Indeterminate)

 # Odpověď v režimu shadow — detekován nesoulad { "decision": "ALLOW",
"source": "upstream",
"verdict_diff": { "del_result": "DENY",
"upstream_allowed": true,
"match_status": "mismatch" } }

Fail-Closed jako výchozí

Když systém nemůže vyhodnotit, zamítne. Žádné tiché propuštění.

OPA nedostupný

Pokud je upstream PDP nedostupný v režimu enforce, brána vrací 403 Forbidden. Rozhodnutí se nehádají. Selhání je zalogováno s plným kontextem.

Konfigurovatelný režim selhání

Režim selhání je řízen OPA_FAIL_MODE. Výchozí: closed. V režimu closed jakékoli selhání evaluace blokuje požadavek. V režimu open (nedoporučeno pro produkci) jsou selhání zalogována, ale přístup je povolen.

Advisory-only záměrem

OmegaOS™ Kernel produkuje strukturovaná rozhodnutí informující lidské operátory. Neexekvuje autonomně downstream akce. V režimech observe a shadow je čistě poradní. V režimu enforce aplikuje přístupové verdikty (200/403/409), ale deleguje obchodní logiku na volající systém.

Integrační vzory

Tři vzory nasazení. Žádné změny aplikačního kódu.

Vzor	Popis
Sidecar	Nasaďte bránu jako sidecar kontejner. Směrujte autorizační volání na `localhost:3200`. Kubernetes-nativní.
Reverse Proxy	Umístěte bránu před Vaše API. Funguje s nginx `auth_request`, Envoy ext_authz nebo jakýmkoli proxy s podporou subpožadavků.
Paralelní Pipeline	Spusťte v režimu shadow vedle Vašeho stávajícího PDP. Porovnejte rozhodnutí v reálném čase. Přejděte na vynucení, když je důvěra prokázána.

Konfigurace

Veškerá runtime konfigurace přes proměnné prostředí. Přepínání režimů je změna jedné proměnné, navržená pro nasazení bez výpadku.

 # Sidecar — režim observe
GATEWAY_MODE=observe
GATEWAY_TENANT_ID="your-tenant-uuid" # Shadow — porovnání se stávajícím PDP
GATEWAY_MODE=shadow
OPA_ENABLED=1
OPA_URL="localhost:8181"
HOVO_LICENSE_B64="..." # Enforce — systém je autoritativní
GATEWAY_MODE=enforce
HOVO_LICENSE_B64="..." # DENY → 403, CONFLICT → 409, ALLOW → 200

Rollback je jedna proměnná. Nastavte GATEWAY_MODE=observe pro návrat k režimu pouze logování kdykoli. V běžném případě není nutný restart. Zaznamenaná data jsou zachována.

RuntimeRust

APIOpenAPI 3.1

NasazeníDocker / K8s / Helm

IzolaceRow-Level Security

Dostupnost 2026

OmegaOS™ — Sovereignty Overlay

OmegaOS™ rozšiřuje OmegaOS™ Kernel do roviny suverenity — vrstva governance, která obaluje celou Vaši infrastrukturu do jednotné rozhodovací obálky.

Kernel a Decision Evidence Log (DEL) jsou již operační. Governance overlay pro více enginů — včetně mezí důvěry mezi enginy a pravidel propagace rozhodnutí — je ve fázi implementace.

OmegaOS™ není operační systém. Je to operační vrstva. Nenahrazuje Vaši infrastrukturu — řídí, jak autorizační rozhodnutí proudí přes ni.

OmegaOS™ Kernel = Vrstva exekuční governance (evidence runtime)
OmegaOS™ = Sovereignty Overlay (governance obálka nad OS / K8s / cloudem)

Vaše aplikace Služby konzumují rozhodnutí prostřednictvím brány

OmegaOS™ — Sovereignty Overlay Orchestrace politik · Sběr důkazů · Governance rozhodnutí

OmegaOS™ Kernel — Vrstva exekuční governance Třístavová evaluace · Generování důkazů · Detekce konfliktů

Vaše infrastruktura Poskytovatelé identit · API brány · Databáze · Stávající PDP

Důkazy záměrem

OmegaOS™ Kernel Vás nežádá, abyste systému důvěřovali. Produkuje důkazy, které můžete ověřit. Každé rozhodnutí, každý důkaz, každý export — zaznamenáno, sledovatelné, rekonstruovatelné.

Zahájit pilot Dokumentace