Intégration et déploiement
OmegaOS™ Kernel se déploie comme surcouche sur votre infrastructure existante.
Aucune migration requise. Aucune modification du code applicatif dans le cas courant. Enregistrement de preuves dès le premier jour.
Surcouche, pas remplacement
OmegaOS™ Kernel ne remplace ni votre fournisseur d'identité, ni votre passerelle API, ni votre point de décision de politique. Il les enveloppe. Il crée une couche de preuves unifiée où chaque autorisation est évaluée, enregistrée et vérifiable.
Votre PDP existant continue de fonctionner. OmegaOS™ Kernel enregistre ce qu'il décide, ajoute l'évaluation à trois états et produit des paquets de preuves exportables.
- Classification
- Infrastructure de décision souveraine. Surcouche pour infrastructure d'autorisation.
- Fonction
- Enregistre les décisions d'autorisation avec lignée de preuve complète. Exporte des paquets de preuves avec hachages d'intégrité SHA-256 et attestation Ed25519 optionnelle (lorsque des clés de signature sont fournies).
- Relation
- Enveloppe votre PDP existant (OPA, Cedar, personnalisé). Ajoute l'enregistrement de preuves et la détection de conflits à trois états.
- Déploiement
- Surcouche. Pas de remplacement des systèmes existants. Aucune modification du code applicatif requise ; le câblage gateway et routage peut s'appliquer.
Architecture en surcouche
OmegaOS™ Kernel se déploie sur votre pile existante. Il ne remplace pas — il enveloppe.
Aucune migration requise. OmegaOS™ Kernel observe d'abord vos flux d'autorisation existants. Il enregistre ce que votre système actuel décide. Quand vous êtes prêt, il introduit l'évaluation à trois états en parallèle — pas à la place de — votre PDP existant. Le câblage du gateway et la configuration du routage peuvent être nécessaires selon votre modèle de déploiement.
Mode comparaison
Comparer les décisions d'OmegaOS™ Kernel avec celles de votre PDP existant en temps réel. Identifier les écarts avant l'application.
Détection des écarts
En mode comparaison, le gateway évalue chaque requête à travers votre PDP amont et le moteur de résolution OmegaOS™ Kernel. Il retourne le verdict de votre PDP à l'appelant — aucune perturbation — mais enregistre les deux résultats et signale tout écart.
Les écarts sont comptabilisés dans les métriques Prometheus (upstream_del_mismatches) et inclus dans la réponse de décision. Cela vous donne une mesure précise de la divergence avant de passer en mode application.
| Métrique | Signification |
|---|---|
| Concordance | Le PDP et OmegaOS™ Kernel s'accordent sur le résultat |
| Écart | Le PDP et OmegaOS™ Kernel divergent — signalé pour examen |
| Conflit | OmegaOS™ Kernel détecte des preuves contradictoires (Indéterminé) |
Fail-closed par défaut
Lorsque le système ne peut pas évaluer, il refuse. Pas de passage silencieux.
OPA injoignable
Si le PDP amont est injoignable en mode application, le gateway retourne 403 Forbidden. Les décisions ne sont pas devinées. L'échec est journalisé avec le contexte complet.
Mode d'échec configurable
Le mode d'échec est contrôlé par OPA_FAIL_MODE. Par défaut : closed. En mode fermé, toute erreur d'évaluation bloque la requête. En mode ouvert (non recommandé en production), les erreurs sont journalisées mais l'accès est accordé.
Conception advisory-only
OmegaOS™ Kernel produit des décisions structurées qui informent les opérateurs humains. Il n'exécute pas d'actions en aval de manière autonome. En modes observation et comparaison, il est purement consultatif. En mode application, il applique les verdicts d'accès (200/403/409) mais délègue la logique métier au système appelant.
Modèles d'intégration
Trois modèles de déploiement. Aucune modification du code applicatif requise.
| Modèle | Description |
|---|---|
| Sidecar | Déployer le gateway comme conteneur sidecar. Router les appels d'autorisation vers localhost:3200. Natif Kubernetes. |
| Reverse Proxy | Placer le gateway devant votre API. Compatible nginx auth_request, Envoy ext_authz, ou tout proxy capable de sous-requêtes. |
| Pipeline parallèle | Exécuter en mode comparaison en parallèle de votre PDP existant. Comparer les décisions en temps réel. Passer à l'application quand la confiance est établie. |
Configuration
Toute la configuration runtime via variables d'environnement. Le changement de mode est un changement de variable unique, conçu pour un déploiement sans temps d'arrêt.
Le retour arrière est une variable. Définir GATEWAY_MODE=observe pour revenir au mode enregistrement seul à tout moment. Aucun redémarrage requis dans le cas courant. Les données enregistrées sont préservées.
OmegaOS™ — Surcouche de souveraineté
OmegaOS™ étend OmegaOS™ Kernel en une surcouche souveraine — une couche de gouvernance qui enveloppe l'ensemble de votre infrastructure dans une enveloppe de décision unifiée.
Le Kernel et le Decision Evidence Log (DEL) sont opérationnels. La surcouche de gouvernance multi-moteurs — incluant les limites de confiance inter-moteurs et les règles de propagation de décision — est en phase d'implémentation.
OmegaOS™ n'est pas un système d'exploitation. C'est une couche opérationnelle. Il ne remplace pas votre infrastructure — il gouverne la manière dont les décisions d'autorisation circulent à travers elle.
OmegaOS™ Kernel = Couche de gouvernance d'exécution (runtime de preuves)
OmegaOS™ = Surcouche de souveraineté (enveloppe de gouvernance sur OS / K8s / cloud)
Des preuves par conception
OmegaOS™ Kernel ne vous demande pas de faire confiance au système. Il produit les preuves pour que vous puissiez vérifier. Chaque décision, chaque preuve, chaque export — enregistré, traçable, reconstructible.