跳转到主要内容
OrcaRouter 上的每个控制平面都有两种姿态:观察(observe), 此时网关评估并记录策略_会_做什么但从不改变响应;以及 执行(enforce),此时同一策略真正拦截、掩码或挂起该调用。 这种区分让你在一个请求都还没失败之前,就能用一周时间针对你的 真实流量观察一个框架——然后在数字看起来合适时再把它翻转上线。 本页是这条边界的面向客户的地图:哪种姿态免费、哪种付费、谁能 更改它,以及在你正式投入之前如何解读两者之间的差距。

1. 为什么合规的观察—执行是一道两步门

一个在第一天就拦截的合规框架,是一个你在第二天就关掉的框架。 诚实的顺序是:以观察模式安装,针对你自己的流量阅读”本会 拦截”的数字,修复你原本不知道存在的缺口,然后上线。 OrcaRouter 把这个顺序内建进姿态模型,让你永远无需猜测。 (安装一个包在每个套餐上都是一个付费、Admin 的步骤——观察和 执行是同一个付费包的两种姿态,而不是一个免费层和一个付费层。 免费的观察路径存在于防火墙和防护栏平面上,它们不带套餐门控。)

观察——在防火墙与防护栏上免费

把一条防火墙策略置于 shadow_mode,或把一个防护栏置于 audit,网关就会针对实时流量评估它并记录它_本会_做什么—— 而从不改变响应。无需套餐;写操作门控到 Developer+。浏览合规 目录和阅读就绪度汇总对任何工作区成员也是免费的。

合规包——付费、仅限 Admin

合规包平面——安装一个包(即便在观察模式下)、设置控制以及 上线——需要付费套餐和工作区 Admin 角色。上线就是包的 实体化规则开始真正拦截、掩码和挂起调用的那一刻。
观察不是一个被稀释的试用。它针对同样的实时流量运行同样的 评估引擎——它只是抑制了判定的效果。你在观察模式下看到的数字, 就是你翻转开关时会得到的数字。

2. 各个平面上每种姿态的样子

这道两步门并非合规包独有——每个平面都暴露一个观察对等物。 到处都是同一个理念:评估并记录,不行动。
平面观察姿态执行姿态
合规包(付费)observe 模式安装——实体化规则仅记录golive 把包翻转为 enforce
防火墙 策略shadow_mode——判定记录为 [shadow] would …实时 deny / sanitize / pending_approval
防火墙工作区firewall_observe_mode——把未覆盖的调用记录为缺口策略在已覆盖的执行面上评估并行动
自治 级别permissive——仅观察,无执行策略balanced / tight——真实的 audit 和 deny 行
安装一个合规包会以观察姿态向你的工作区写入真实、可编辑的 防护栏防火墙 策略(防火墙策略落在 shadow_mode)。上线只是对已存在的行做一次 姿态翻转——而非重新安装。

3. 一个具体演练

下面是单个框架完整的观察到执行循环。浏览目录和阅读汇总免费; 安装包(即便在观察模式下)和最终的 golive 都需要付费套餐和 Admin。
1

浏览目录(免费,任何成员)

在控制台打开 Compliance 并审视可用框架。任何工作区成员 都可以阅读目录、已安装包列表以及就绪度汇总——无需套餐。
# Read-only, session-authenticated (UserAuth) — done from the console.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

以观察模式安装(付费套餐,Admin)

从框架的卡片上选择 Install。安装一个合规包需要付费套餐 ——服务器会拒绝免费套餐的安装。包以观察姿态实体化它的防护栏 和防火墙规则(防火墙规则处于 shadow_mode,防护栏动作被强制 为仅记录),因此网关会立即针对你的实时流量评估它们,并记录 每一次”本会拦截”,而不改变任何一个响应。
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/install
3

阅读差距(免费,任何成员)

就绪度视图现在按框架显示一个本会拦截计数:在你的回溯 窗口中有多少真实请求本会被该框架拦下(归因于包的防护栏平面 行)。一个高数字是你在执行之前而非之后修复某个工作流的 信号。
4

上线(付费套餐,Admin)

当数字看起来合适时,付费套餐上的 Admin 把包翻转为执行。 之前在记录的同一批规则现在会拦截、掩码和挂起——包的防火墙 策略也离开 shadow_mode
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/golive
配置路由(/api/compliance/*/api/guardrail/*/api/workspace/firewall/*)用你的控制台会话进行认证,而非 中继密钥。只有 /v1/* 模型调用使用 sk-orca-… 密钥。上面的 示例为清晰起见展示为路由,但你是从控制台驱动它们全部的。

4. 免费 / 付费边界,精确地说

在合规平面上,只有_阅读_你的姿态是免费的;一旦你实体化一个包, 你就走上了付费路径。套餐检查在服务端执行——直接的 API 调用 无法绕过它。
浏览框架目录、列出已安装的包、阅读就绪度汇总、阅读已配置的 数据驻留地,以及列出报告元数据,对每个成员免费开放。把你 工作区的第一份合规报告生成为 PDF 也是免费的。
安装一个包(即便在观察模式下)、设置控制、把包上线 (golive)、生成首份之后的额外 签名报告,以及把证据 导出 为 CSV/JSON, 全都需要付费套餐和 Admin 角色。合规平面没有免费的观察层 ——安装本身就是付费墙。
设置 数据驻留 门控到 工作区 Admin 角色,但在付费套餐之后——任何 Admin 都可以设置区域。
报告一经生成即可公开验证——任何持有该制品的人都能通过 报告验证 在无账户的情况下 确认其签名。每份报告都被签名(PDF、CSV 和 JSON 一视同仁); 验证向全世界开放。

5. 在翻转之前阅读”本会拦截”的数字

观察的存在是为了让你用数据而非胆量回答一个问题:这上线后会 有什么坏掉? 两个执行面给你答案。
  • 就绪度汇总——为已安装的合规包提供按框架的本会拦截计数 (归因于包的防护栏平面行),让你在执行某个框架之前就能看出 哪些框架对你的回溯流量咬得最狠。任何工作区成员均可阅读。
  • 防火墙 事件——记录每条 shadow_mode 策略_本会_做什么;一行 [shadow] would deny 是一次尚未发生 的拒绝。Events 信息流门控到 Developer+(这些行携带工具调用 来源)。防火墙策略、设置、discovered-tools 视图、自治模拟器 和异常信息流对任何成员保持可读。
  • 防护栏 匹配——匹配信息流记录每个 audit 模式防护栏本会标记什么。任何成员均可阅读。
同样的分阶段推广在自治级别上也适用。先施加 permissive (仅观察),观察事件信息流,然后为值得的执行面升级到 balancedtight——并可从审计快照一键撤销。参见 secure-agents 基线

6. 接下来去哪里

套餐门控

究竟哪些合规动作需要付费套餐,以及哪些在每个层级上保持免费。

安装一个包

以观察模式实体化一个框架的防护栏和防火墙规则——上线之前 付费、Admin 的第一步。

执行模式

完整的姿态词汇——观察、影子、审计和执行——贯穿每个平面。

责任共担

网关执行什么、什么仍是你的决定。
观察是你了解执行将让你付出何种代价的地方。在防火墙和防护栏 平面上你可以免费观察;在合规包平面上,安装和上线是付费、Admin 的步骤——先阅读本会拦截的数字,然后按你的条件把它上线。