应用场景
在你的私有云中构建并运行 AI 应用
AI 辅助的速度,你自己的基础设施。用 Ciao 完整的交付闭环构建,并部署到你自己的 AWS、Azure 或 GCP 账户或私有 VPC 中。
私有云应用是用 AI 辅助工程构建、却部署在你自己掌控的基础设施中的应用——你自己的 AWS、Azure 或 GCP 账户,或在另行约定条款下的私有 VPC。Ciao 把它们构建成真实的 React、TypeScript 与 Supabase 应用,配有自动化 QA、实时安全测试与 Guardrails 治理。与只在自家云上托管的 AI 搭建工具不同,Ciao 把软件的构建地点和运行地点区分开来,让数据驻留与网络边界始终由你掌控。
发布日期 2026-07-03 · 最近更新 2026-07-03
有些应用不能活在别人的云上
对很多团队来说,应用托管在哪里是事后才考虑的问题。而对另一些团队来说,这是第一个要问的问题:数据受监管、驻留地点写进了合同、安全团队要求流量必须留在企业网络边界之内,或者客户协议明确规定了工作负载必须运行的地区和账户。这些限制,历来直接把 AI 应用搭建工具排除在外——大多数此类工具把构建和托管捆绑成不可分割的一个整体,运行在它们自己的基础设施上,按它们自己的条款。
结果就是一笔令人沮丧的交易:业务部门眼看着同行几天内就能上线 AI 构建的工具,而自己的需求却在基础设施和合规评审后面排队——因为那些快的工具没法部署到政策要求的地方,而能正确部署的路径,是手工搭建、速度缓慢的。
Ciao 把这两半分开处理。软件在平台上构建——Builder、AI 软件组织、QA、Security 与 Guardrails 都照常适用——然后部署到 Ciao 云、你自己的 AWS、Azure 或 GCP 账户,或在另行约定条款下的私有 VPC。你的云团队保留账户、网络边界、地区与密钥的掌控权。你的业务团队保留构建速度。而安全评审,也有了真正的答案:可在 NDA 下提供的 SOC 2 Type II 报告、通过 SAML 与 OIDC 实现的 SSO、基于角色的访问控制,以及贯穿整个生命周期的只增不减审计日志。
私有云部署通常需要什么
当目的地是你自己的云时,这份需求清单是由你的平台团队和安全团队来撰写的:
- 你的账户,你的边界 — 工作负载部署在你自己的 AWS、Azure 或 GCP 账户,或一个私有 VPC 之中,处于你已经在治理的网络边界与账户结构内部。
- 数据驻留 — 数据留在你的合同和监管机构指定的地区——平台提供多区域支持与数据驻留选项。
- 身份集成 — 针对你的身份提供商实现的 SAML 或 OIDC SSO、可选的多因素认证,以及与你的目录分组对齐的基于角色的访问控制。
- 可审计性 — 覆盖提示词、合并、部署与管理员操作的只增不减审计日志——这是能满足内部审计要求的证据,而不只是满足好奇心。
- 运维契合度 — 通过 SysOps 完成的部署分诊、漂移检测、回滚与核对,加上 Doctor 对线上应用的只读诊断。
- 采购环节的答案 — 可在 NDA 下提供的 SOC 2 Type II 报告、零保留期模型合约、不用客户代码进行训练,以及可供你的法务团队评审的、针对 VPC 部署的另行约定条款。
私有云构建是如何运行的
1. 确定目的地
你的云账户或私有 VPC、地区,以及条款——VPC 与本地部署在与销售团队界定范围后,按另行约定的条款运行。
2. 在平台上构建
团队用简单语言描述应用,并在实时预览中塑造它——无论应用最终运行在哪里,构建体验都完全一致。
3. 尽早集成身份体系
SAML 或 OIDC SSO、多因素认证选项与基于角色的访问控制,会在上线之前——而不是之后——就针对你的身份提供商接入完成。
4. 用 QA 与安全把关
确定性浏览器回放、冒烟测试关卡、静态扫描、依赖项检查,以及针对线上应用确认过的访问控制探测。
5. 治理这些变更
Guardrails 应用你的简明英文政策并记录人工审核,留下你的合规职能部门所期望的审计日志。
6. 部署进你的账户
应用发布进你的 AWS、Azure 或 GCP 账户,或私有 VPC——在你的边界之内,受你的管控。
7. 以共享的可见性运维
Doctor 以只读方式诊断线上问题;SysOps 负责处理漂移、回滚与核对;如果你以这种方式运行多个应用,Conductor 会展示整支 Fleet。
安全与治理检查清单
- ✓ 在另行约定条款下,部署进你自己的 AWS、Azure 或 GCP 账户或私有 VPC
- ✓ 通过多区域支持满足数据驻留要求
- ✓ SAML 或 OIDC SSO、可选多因素认证、基于角色的访问控制
- ✓ 覆盖提示词、合并、部署与管理员操作的只增不减审计日志
- ✓ 安全发现在标记之前先针对线上应用进行确认
- ✓ SOC 2 Type II 报告可在 NDA 下提供,供采购评审使用
- ✓ 不用客户代码进行训练;零保留期模型合约
团队在自己的私有云中运行什么
受监管的内部工具
政策要求必须留在企业边界之内的审批工作流、案件管理与数据处理工具。
运行在你自己账户中的客户门户
一个面向客户的门户,与它读取数据的系统部署在同一个云账户中,让数据路径保持简短、可审计。
受驻留地约束的区域性应用
合同中明确规定地区的应用——确凿无疑地部署在该地区、你的账户之中。
财务与资金管理工作流
与支付相邻的内部工具,安全团队问的第一个问题“这运行在哪里”,答案就是你的 VPC。
医疗运营工具
排期、接入协调、文档追踪等运营工作流应用,运行在机构自己的云边界之内。
政务服务工作流
公共部门的接入与处理工具,在所需条款下部署进政府管控的云账户。
需求与 Ciao 的应对方式
私有云的需求同时来自平台团队、安全团队与采购团队,而且这些需求本质上没有商量的余地。下表把几乎每次评审都会出现的需求,对应到平台满足它们的方式——从账户管控到上线之后会发生什么。
| 需求 | Ciao 如何满足 |
|---|---|
| 运行在我们自己的账户中 | 部署到你自己的 AWS、Azure 或 GCP 账户或私有 VPC |
| 地区与数据驻留 | 多区域支持与数据驻留选项 |
| 我们自己的身份提供商 | 通过 SAML 与 OIDC 实现的 SSO、可选多因素认证、RBAC |
| 审计证据 | 覆盖提示词、合并、部署、管理员操作的只增不减日志 |
| 采购尽职调查 | 可在 NDA 下提供的 SOC 2 Type II 报告;零保留期模型合约 |
| 上线后的运维 | Doctor 诊断、SysOps 漂移检测与回滚 |
| 保持构建速度 | 与 Ciao 云完全相同的简单语言 Builder 与交付闭环 |
常见问题
支持哪些云平台?
部署目标包括你自己的 AWS、Azure 或 GCP 账户和私有 VPC,以及 Ciao 云和本地部署。私有 VPC 与本地部署,在与销售团队界定范围后,按另行约定的条款运行。
“另行约定条款下的部署”是什么意思?
私有 VPC 与本地部署涉及超出标准自助托管范畴的承诺——具体的环境细节、职责划分与支持边界——因此需要单独签约。一次与销售团队的对话,会针对你的环境敲定这些条款。
部署之后,谁来掌控这套基础设施?
你自己。这是你的云账户、你的网络边界、你的密钥和你的地区。Ciao 的运维工具会配合这一点运作:Doctor 在诊断线上应用时是只读的,而 SysOps 会在约定好的架构之内处理漂移、回滚与核对。
在平台上构建,会暴露我们的数据或代码吗?
客户代码绝不用于训练模型,推理运行在零保留期模型合约之下。SOC 2 Type II 报告可在 NDA 下提供,而只增不减的审计日志覆盖提示词、合并、部署与管理员操作,供你自己评审。
以私有方式部署时,构建体验会有所不同吗?
不会。团队使用的是与 Ciao 云完全相同的 Builder、实时预览、QA、Security 与 Guardrails 闭环。不同的只是目的地:发布的应用落在你的账户里,而不是我们的。
这如何计价?
私有云项目属于企业级合作:开发项目起价为每年 10,000 美元,VPC 部署条款另行界定范围。带上你的目标账户和地区联系销售团队,获取具体报价。