Zum Hauptinhalt springen

Serverstandort & Infrastruktur

Wo Ihre Daten gespeichert und verarbeitet werden, ist eine der wichtigsten Fragen im Unternehmenseinsatz von KI. Diese Seite gibt Ihnen einen vollständigen Überblick über die Infrastruktur des CLYE LLM Gateways.

Serverstandort: Europa

Der CLYE LLM Gateway wird auf Servern in der Europäischen Union betrieben. Das bedeutet:

  • Alle Metadaten und Konfigurationen werden ausschließlich in der EU gespeichert
  • Es gilt europäisches Datenschutzrecht (DSGVO)
  • Kein Datentransfer in Drittstaaten ohne angemessenes Schutzniveau
  • Hosting durch europäische Rechenzentrumsanbieter
EU-Datenschutz

Die DSGVO schreibt vor, dass personenbezogene Daten nur dann in Länder außerhalb der EU übertragen werden dürfen, wenn dort ein gleichwertiges Datenschutzniveau besteht. CLYE stellt sicher, dass alle Verarbeitungsschritte innerhalb der EU stattfinden.

Kubernetes-Infrastruktur: Isoliert & Hochverfügbar

Der Gateway läuft auf einer Kubernetes-Plattform, dem Industriestandard für skalierbare, sichere Anwendungen. Was das für Sie bedeutet:

Namensraum-Isolation

Der Gateway läuft in einem eigenen isolierten Namespace (llm-gateway). Das bedeutet, er ist von anderen Anwendungen auf derselben Infrastruktur vollständig getrennt, wie ein eigenes abgeschlossenes Zimmer.

Hochverfügbarkeit

Es laufen mindestens zwei parallele Instanzen des Gateways. Fällt eine aus, übernimmt die andere nahtlos, ohne Unterbrechung für Ihre Nutzer.

Automatische Gesundheitsprüfungen

  • Alle 5 Sekunden prüft das System, ob der Gateway bereit ist, Anfragen anzunehmen
  • Alle 10 Sekunden prüft das System, ob der Gateway korrekt läuft
  • Reagiert der Gateway nicht, wird er automatisch neu gestartet

Minimale Angriffsfläche

Der Gateway läuft in einem minimalen Container-Image ohne Betriebssystem-Werkzeuge, Shell oder unnötige Bibliotheken. Was nicht installiert ist, kann auch nicht angegriffen werden.

Netzwerk-Sicherheit: Wer darf was erreichen?

Öffentlich erreichbar (nur diese Endpunkte)

Nur zwei Endpunkte sind aus dem Internet erreichbar:

EndpunktZweck
POST /v1/chat/completionsKI-Anfragen stellen
GET /healthzStatusprüfung

Alle Verwaltungsfunktionen (API-Keys anlegen, Provider konfigurieren, Budgets setzen) sind nur intern erreichbar, nicht aus dem Internet.

Interne Verwaltung: Doppelt gesichert

Administrative Funktionen sind durch zwei unabhängige Sicherheitsschichten geschützt:

  1. Netzwerk-Richtlinie: Nur bestimmte, explizit zugelassene Systeme dürfen die Verwaltungs-API überhaupt erreichen
  2. Token-Authentifizierung: Selbst wenn ein System im Netzwerk ist, braucht es noch einen gültigen Admin-Token

Diese „Defense in Depth"-Strategie bedeutet: Ein Angreifer müsste beide Schichten überwinden, was extrem unwahrscheinlich ist.

Zugriff auf externe KI-Anbieter

Wenn der Gateway eine Anfrage an OpenAI, Anthropic oder andere weiterleitet, gelten folgende Grundsätze:

  • Ausgehend, nicht eingehend: Externe Anbieter können niemals aktiv auf Ihre Infrastruktur zugreifen: nur der Gateway ruft sie auf
  • Verschlüsselte Verbindung: Alle Verbindungen zu externen Anbietern laufen über HTTPS/TLS
  • Konfigurierbare Anbieter: Sie bestimmen, welche KI-Anbieter überhaupt genutzt werden dürfen
  • Regionale Präferenzen: Wo ein Anbieter mehrere Regionen anbietet (z. B. EU-Rechenzentren von Azure/OpenAI), kann der Gateway bevorzugt diese nutzen

Ausfallschutz & Circuit Breaker

Der Gateway überwacht kontinuierlich die Verfügbarkeit und Latenz jedes konfigurierten KI-Anbieters:

KennzahlWas wird gemessen
P50-LatenzTypische Antwortzeit (Medianwert)
P95-LatenzAntwortzeit im schlechtesten Fall
FehlerrateAnteil fehlgeschlagener Anfragen

Wenn ein Anbieter 3-mal hintereinander fehlschlägt, wird er automatisch aus der Rotation genommen (Circuit Breaker). Nach einer Abkühlphase wird erneut getestet, ob der Anbieter wieder verfügbar ist.

Das bedeutet für Sie: Auch wenn OpenAI einen Ausfall hat, erhalten Ihre Mitarbeitenden weiterhin KI-Antworten, der Gateway leitet automatisch zu einem anderen konfigurierten Anbieter um.

Datenhaltung: Was bleibt wo?

DatenkategorieSpeicherortAufbewahrung
GesprächsinhalteNicht gespeichert,
NutzungsmetadatenEU-Server (CLYE Infrastruktur)Konfigurierbarer Zeitraum
API-Schlüssel (gehasht)EU-Server (CLYE Infrastruktur)Bis zur Löschung
Provider-KonfigurationEU-Server (CLYE Infrastruktur)Bis zur Änderung
Gecachte AntwortenEU-Server (Im Arbeitsspeicher)Max. 10 Minuten
Datenminimierung

Der Gateway folgt dem DSGVO-Prinzip der Datenminimierung: Es werden nur die Daten erhoben, die für den Betrieb und die Abrechnung tatsächlich notwendig sind.