Was ist Air-Gap CI/CD und warum wird es 2026 wichtig?
Air-Gap CI/CD bezeichnet Pipeline-Plattformen, die vollständig ohne Internetzugang in segmentierten Produktionsnetzwerken (OT, KRITIS, regulierte Branchen) laufen. Alle Komponenten — Build-Server, Container-Registry, Plugin-Mirror, KI-Modell — sind on-premise. NIS2-Datenresidenz, IEC 62443-Zonen-Modell und „Souveräne KI" (lokales LLM via Ollama) treiben Air-Gap-Setups 2026 in den Mainstream. IndustrialFlow ist explizit für Air-Gap-Betrieb konzipiert.
Air-Gap CI/CD mit IndustrialFlowAir-Gap CI/CD bedeutet, dass eine Pipeline-Plattform vollständig ohne jede Internetverbindung in einem physisch oder logisch isolierten Netz betrieben wird. Jede Komponente, die in herkömmlichen Setups aus dem Netz nachgeladen würde, muss lokal vorgehalten werden: Build-Server, Container-Registry, ein Plugin- oder Paket-Mirror, Artefakt-Repository und — neuerdings entscheidend — das KI-Modell. Der Begriff Air-Gap beschreibt dabei das Ideal der vollständigen Trennung; in der Praxis arbeitet man oft mit streng kontrollierten Schleusen für den Import geprüfter Artefakte.
Drei Treiber drängen Air-Gap-Setups 2026 in den Mainstream. Erstens die NIS2-Datenresidenz und KRITIS-Auflagen, die bestimmte Daten und Prozesse zwingend im eigenen Netz halten. Zweitens das IEC-62443-Zonenmodell, das ohnehin segmentierte OT-Netze vorsieht. Drittens der Trend zu souveräner KI: Wo bislang KI-Assistenz Internetzugang zu einer Cloud-API verlangte, ermöglichen lokal betriebene Modelle — etwa über Ollama — KI-gestützte Pipeline-Arbeit auch im abgeschotteten Netz.
Die operativen Herausforderungen sind die Versorgungslogistik und die Aktualität. Ohne Internet müssen Updates, Plugins und Basis-Images über einen kontrollierten Import-Prozess eingespielt werden, was Disziplin und ein durchdachtes Mirror-Konzept verlangt. Sicherheits-Patches dürfen trotz Isolation nicht veralten. Plattformen, die explizit für Air-Gap-Betrieb konzipiert sind — wie IndustrialFlow —, bringen diese Mirror-, Import- und Offline-KI-Mechanismen von vornherein mit, statt sie nachträglich aufzusetzen.
Vollständig lokaler Build-Stack im KRITIS-Netz
Ein Versorger betreibt Build-Server, Container-Registry und Artefakt-Repository ausschließlich im isolierten Netz; neue Basis-Images gelangen nur über eine geprüfte Daten-Schleuse hinein, sodass die Pipeline nie eine externe Verbindung benötigt.
Offline-KI-Assistenz per Ollama
Statt einer Cloud-API nutzt das Team ein lokal über Ollama betriebenes Sprachmodell, um Pipeline-Konfigurationen zu generieren und Logs zu analysieren — KI-Unterstützung bleibt verfügbar, ohne dass das Air-Gap verletzt wird.
Kontrollierter Plugin-Mirror
Ein interner Mirror hält freigegebene Jenkins-Plugins und Container-Images vor; ein periodischer, auditierter Import-Vorgang aktualisiert den Mirror, sodass Sicherheits-Patches trotz Isolation zeitnah verfügbar sind.
- Wie hält man eine Air-Gap-Pipeline trotz Isolation aktuell?
- Über einen kontrollierten Import-Prozess: Updates, Plugins und Basis-Images werden außerhalb geprüft, signiert und über eine definierte Daten-Schleuse in den internen Mirror eingespielt. Ein durchdachtes Mirror- und Freigabekonzept verhindert, dass Sicherheits-Patches veralten.
- Kann man KI-Assistenz in einem echten Air-Gap nutzen?
- Ja, aber nicht über Cloud-APIs, die Internetzugang verlangen. Stattdessen betreibt man ein lokales Sprachmodell, etwa über Ollama, vollständig im isolierten Netz. So bleibt KI-gestützte Pipeline-Arbeit möglich, ohne die Netzwerk-Trennung aufzuweichen.
- Worin unterscheidet sich Air-Gap CI/CD von einem on-premise Setup mit Internetzugang?
- Ein on-premise Setup darf weiterhin Plugins, Images und API-Dienste aus dem Internet nachladen. Air-Gap CI/CD verbietet das vollständig: Alle Abhängigkeiten — bis hin zum KI-Modell — müssen lokal vorgehalten und über kontrollierte Schleusen importiert werden.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance