Drei Wege, Lucairn zu betreiben

Der schnellste Weg zu einem laufenden Stack auf deinem Rechner. Ein make-Target, alle 7 Services in unter 60 Sekunden oben.

# Clone the dual-sandbox-architecture repo, then:
make compose-up

# Brings up the full stack on your laptop:
#   - gateway (8080)
#   - sanitizer (50055)
#   - id-bridge (50052)
#   - sandbox-a (postgres + identity provider)
#   - sandbox-b (LLM proxy)
#   - veil-witness (50059)
#   - audit (postgres + grpc)
# All host ports bound to 127.0.0.1 only — never publicly reachable.

# Health probe:
curl http://localhost:8080/healthz

Geeignet für

Lokale Entwicklung, Integrationstests, Architektur-Demos.

Stolpersteine

• Host-Ports sind ausschließlich an 127.0.0.1 gebunden. Nie öffentlich erreichbar.

• Default-Postgres-Passwörter sind Dev-only; Compose nicht für Produktion einsetzen.

• Alle Env-Vars kommen aus config.env; kopiere config.env.example und trage Upstream-LLM-Schlüssel ein.

Kanonische Quelle

• → Makefile (compose-up-Target)

Production-Install auf jedem Kubernetes-Cluster ab 1.27. NetworkPolicies erzwingen die Split-Knowledge-Grenze.

# Add the chart and install:
helm repo add lucairn https://charts.lucairn.eu
helm install lucairn lucairn/lucairn-platform \
  --namespace lucairn \
  --create-namespace \
  --values values.yaml

# Key values to set:
#   gateway.image.tag         — pinned release version
#   sandboxB.upstream.host    — your LLM provider endpoint
#   sandboxA.postgres.size    — identity DB size
#   networkPolicies.enabled   — must be true for split-knowledge guarantee
#   witness.signingKeyRef     — secretRef for the Ed25519 signing key

Geeignet für

Multi-Tenant-SaaS, interne Plattform-Teams, Kunden, die bereits Kubernetes betreiben.

Stolpersteine

• NetworkPolicies müssen erzwungen werden (cilium / calico / kube-router). Ohne Enforcement degradiert die Split-Knowledge-Garantie zu einem Software-Versprechen.

• Die Egress-Allowlist von Sandbox B ist die tragende Security-Kontrolle. Vor jedem Chart-Upgrade prüfen.

• Der Witness-Signaturschlüssel MUSS aus deinem KMS kommen (HashiCorp Vault, AWS KMS, Azure Key Vault). Nie Signaturmaterial in git ablegen.

Kanonische Quelle

• → deploy/helm/-Chart

Deploy auf deinem bestehenden K8s-Namespace neben deinen anderen Workloads. Identitätsdaten verlassen deinen Cluster nie — selbst Lucairn-Operatoren sehen sie nicht.

# Bring-your-own cluster pattern:
#   1. Run helm install in your existing K8s namespace
#   2. Point your apps at gateway.<your-cluster>.local:8080
#   3. Mint lcr_live_* keys via /api/v1/register, scoped to your tenant
#   4. Identity data never leaves your cluster
#   5. Sandbox B can call any LLM you allowlist (private LLM, OpenAI, etc.)
#
# Used in production by healthcare and finance customers.
# See /use-cases/healthcare and /use-cases/finance for the regulatory framing.

Geeignet für

Gesundheitswesen, Finanzdienstleister, Behörden, EU-Datenresidenz-Anforderungen und alle mit Air-Gapped- oder Sovereign-Cloud-Bedarf.

Stolpersteine

• Sandbox B kann jedes LLM aufrufen, das du auf die Allowlist setzt — privates LLM, deinen OpenAI-Tenant oder ein im Cluster gehostetes Llama.

• Der Update-Kanal liegt beim Operator. Lucairn upgraded nie automatisch auf deinem Cluster.

• Audit Trail und Zertifikatsverifikation funktionieren vollständig offline; nur Changelog-/News-Fetches brauchen Internet.

Kanonische Quelle

• → Deployment-Muster Gesundheitswesen
• → Deployment-Muster Finanzdienstleistungen