Chuyển đến nội dung chính
Mỗi control plane trên OrcaRouter có hai tư thế: observe, nơi gateway đánh giá và ghi log những gì một chính sách sẽ làm nhưng không bao giờ thay đổi một response, và enforce, nơi cùng chính sách đó thực sự block, mask, hoặc giữ lại cuộc gọi. Sự phân tách cho phép bạn theo dõi một framework đối với traffic thực của mình trong một tuần trước khi một request đầu tiên thất bại — rồi lật nó sang live khi các con số trông đúng. Trang này là bản đồ hướng-tới-khách-hàng của ranh giới đó: tư thế nào miễn phí, tư thế nào trả phí, ai có thể thay đổi nó, và làm sao đọc khoảng cách giữa hai bên trước khi bạn cam kết.

1. Vì sao compliance observe enforce là một cổng hai bước

Một framework compliance block ngay ngày đầu tiên là một framework bạn tắt vào ngày thứ hai. Trình tự trung thực là: cài đặt ở observe, đọc các con số would-block đối với traffic của chính bạn, sửa các khoảng trống mà bạn không biết mình có, rồi go-live. OrcaRouter xây trình tự đó vào mô hình tư thế để bạn không bao giờ phải đoán. (Cài đặt một pack là một bước trả phí, Admin trên mọi gói — observe và enforce là hai tư thế của cùng một pack trả phí, không phải một tier miễn phí và một tier trả phí. Đường observe miễn phí nằm trên các mặt phẳng Firewall và Guardrails, vốn không mang cổng theo gói.)

Observe — miễn phí trên Firewall & Guardrails

Đặt một chính sách Firewall ở shadow_mode hoặc một Guardrail ở audit, và gateway đánh giá nó đối với traffic thực và ghi lại những gì nó sẽ làm — mà không bao giờ thay đổi một response. Không yêu cầu gói; việc ghi được giới hạn cho Developer+. Duyệt catalog compliance và đọc các bản gộp readiness cũng miễn phí cho bất kỳ thành viên workspace nào.

Compliance pack — trả phí, chỉ Admin

Mặt phẳng compliance-pack — cài đặt một pack (kể cả ở observe), thiết lập control, và go-live — yêu cầu một gói trả phí và vai trò Admin workspace. Go-live là nơi các quy tắc đã hiện thực hóa của pack bắt đầu thực sự block, mask, và giữ lại cuộc gọi.
Observe không phải là một bản dùng thử pha loãng. Nó chạy cùng engine đánh giá như enforce đối với cùng traffic thực — nó chỉ chặn hiệu lực của verdict. Các con số bạn thấy ở observe là các con số bạn sẽ nhận được khi lật công tắc.

2. Mỗi tư thế trông như thế nào trên các mặt phẳng

Cổng hai bước không phải là độc nhất của compliance pack — mọi mặt phẳng đều phơi bày một observe tương đương. Cùng một ý tưởng ở mọi nơi: đánh giá và ghi log, đừng hành động.
Mặt phẳngTư thế observeTư thế enforce
Compliance pack (trả phí)Cài đặt ở chế độ observe — các quy tắc đã hiện thực hóa chỉ ghi loggolive lật pack sang enforce
Chính sách Firewallshadow_mode — verdict ghi log dưới dạng [shadow] would …deny / sanitize / pending_approval trực tiếp
Firewall workspacefirewall_observe_mode — ghi log các cuộc gọi chưa được bao phủ như khoảng trốngCác chính sách đánh giá và hành động trên các bề mặt được bao phủ
Cấp độ tự chủpermissive — chỉ observe, không có chính sách thực thibalanced / tight — các hàng audit và deny thực
Cài đặt một compliance pack ghi các chính sách GuardrailsFirewall thực, có thể chỉnh sửa vào workspace của bạn ở tư thế observe (chính sách firewall đáp xuống shadow_mode). Go-live chỉ là một lần lật tư thế trên các hàng đã tồn tại — không phải một lần cài đặt lại.

3. Một lượt đi cụ thể

Đây là vòng observe-tới-enforce đầy đủ cho một framework đơn lẻ. Duyệt catalog và đọc các bản gộp là miễn phí; cài đặt pack (kể cả ở observe) và golive cuối cùng đều yêu cầu một gói trả phí và Admin.
1

Duyệt catalog (miễn phí, bất kỳ member nào)

Mở Compliance trong console và xem xét các framework có sẵn. Bất kỳ thành viên workspace nào cũng có thể đọc catalog, danh sách pack đã cài, và bản gộp readiness — không yêu cầu gói.
# Read-only, session-authenticated (UserAuth) — done from the console.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Cài đặt ở observe (gói trả phí, Admin)

Từ card của framework, chọn Install. Cài đặt một compliance pack yêu cầu một gói trả phí — server từ chối một lần cài đặt ở gói miễn phí. Pack hiện thực hóa các quy tắc guardrail và firewall của nó ở tư thế observe (các quy tắc firewall ở shadow_mode, các hành động guardrail bị ép thành chỉ-ghi-log), nên gateway đánh giá chúng đối với traffic thực của bạn ngay lập tức và ghi log mọi would-block mà không thay đổi một response nào.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/install
3

Đọc khoảng cách (miễn phí, bất kỳ member nào)

Chế độ xem readiness giờ hiển thị một số đếm would-block mỗi framework: bao nhiêu request thực trong cửa sổ trượt của bạn mà framework sẽ chặn (quy cho các hàng tầng-guardrail của pack). Một con số cao là tín hiệu để bạn sửa một workflow trước khi thực thi, không phải sau.
4

Go-live (gói trả phí, Admin)

Khi các con số trông đúng, một Admin trên một gói trả phí lật pack sang enforce. Cùng các quy tắc đang ghi log giờ block, mask, và giữ lại — và chính sách firewall của pack rời shadow_mode.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/golive
Các route cấu hình (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) xác thực bằng session console của bạn, không phải một relay key. Chỉ các cuộc gọi mô hình /v1/* dùng một key sk-orca-…. Các ví dụ ở trên được hiển thị như route cho rõ ràng, nhưng bạn điều khiển tất cả chúng từ console.

4. Ranh giới miễn phí / trả phí, chính xác

Trên mặt phẳng compliance, chỉ đọc tư thế của bạn là miễn phí; khoảnh khắc bạn hiện thực hóa một pack là bạn đã ở trên một đường trả phí. Việc kiểm tra gói được thực thi ở phía server — một cuộc gọi API trực tiếp không thể bỏ qua nó.
Duyệt catalog framework, liệt kê các pack đã cài, đọc bản gộp readiness, đọc data residency đã cấu hình, và liệt kê metadata báo cáo đều mở cho mọi thành viên miễn phí. Sinh báo cáo compliance đầu tiên của workspace bạn dưới dạng PDF cũng miễn phí.
Cài đặt một pack (kể cả ở observe), thiết lập control, đưa một pack lên live (golive), sinh các báo cáo có chữ ký bổ sung sau cái đầu tiên, và xuất bằng chứng dưới dạng CSV/JSON đều yêu cầu một gói trả phí và vai trò Admin. Mặt phẳng compliance không có tier observe miễn phí — bản thân việc cài đặt chính là paywall.
Đặt data residency được giới hạn cho vai trò Admin workspace nhưng không nằm sau một gói trả phí — bất kỳ Admin nào cũng có thể đặt khu vực.
Các báo cáo xác minh được công khai một khi đã sinh — bất kỳ ai có artifact đều có thể xác nhận chữ ký của nó mà không cần tài khoản qua xác minh báo cáo. Mọi báo cáo đều được ký (PDF, CSV, và JSON như nhau); việc xác minh mở cho cả thế giới.

5. Đọc các con số would-block trước khi bạn lật

Observe tồn tại để bạn có thể trả lời một câu hỏi bằng dữ liệu thay vì sự can đảm: điều gì hỏng khi cái này go-live? Hai bề mặt cho bạn câu trả lời.
  • Bản gộp readiness — số đếm would-block mỗi framework cho các compliance pack đã cài (quy cho các hàng tầng-guardrail của pack), nên bạn có thể thấy framework nào cắn mạnh nhất đối với traffic trượt của bạn trước khi thực thi chúng. Đọc được bởi bất kỳ thành viên workspace nào.
  • Sự kiện Firewall — ghi lại những gì mỗi chính sách shadow_mode sẽ làm; một dòng [shadow] would deny là một lần từ chối chưa xảy ra. Feed Events được giới hạn cho Developer+ (các hàng mang nguồn gốc cuộc gọi tool). Các chính sách firewall, cài đặt, chế độ xem discovered-tools, bộ mô phỏng tự chủ, và feed bất thường vẫn đọc được bởi bất kỳ thành viên nào.
  • Match Guardrails — feed match ghi lại những gì mỗi guardrail ở chế độ audit sẽ gắn cờ. Đọc được bởi bất kỳ thành viên nào.
Cùng việc triển khai theo giai đoạn hoạt động ở cấp độ tự chủ. Áp dụng permissive (chỉ observe) trước, theo dõi feed events, rồi nâng lên balancedtight cho các bề mặt xứng đáng — với hoàn tác một cú nhấp từ snapshot audit. Xem secure-agents baseline.

6. Đi đâu tiếp theo

Phân tầng theo gói

Chính xác những hành động compliance nào yêu cầu một gói trả phí, và những gì vẫn miễn phí trên mọi tier.

Cài đặt một pack

Hiện thực hóa các quy tắc guardrail và firewall của một framework ở observe — một bước trả phí, Admin đầu tiên trước khi bạn go-live.

Các chế độ thực thi

Toàn bộ vốn từ vựng tư thế — observe, shadow, audit, và enforce — trên mọi mặt phẳng.

Trách nhiệm chia sẻ

Những gì gateway thực thi so với những gì vẫn là quyết định của bạn.
Observe là nơi bạn học được enforce sẽ tốn của bạn những gì. Trên các mặt phẳng Firewall và Guardrails bạn có thể theo dõi miễn phí; trên mặt phẳng compliance-pack, cài đặt và go-live là các bước trả phí, Admin — hãy đọc các con số would-block trước, rồi đưa nó lên live theo điều kiện của bạn.