> ## Documentation Index > Fetch the complete documentation index at: https://factory-docs-cli-sandbox-mcp-whole-process.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # ネットワークとデプロイ設定 > クラウド、ハイブリッド、完全エアギャップDroidデプロイメントのリファレンスアーキテクチャとネットワーク要件。 Droidはどこでも実行できるよう設計されています:ノートパソコン、CIパイプライン、VMとKubernetesクラスター、完全にエアギャップされた環境で。 このページでは**サポートされるデプロイメントパターン**、その**ネットワーク要件**、そしてDroidをプロキシ、カスタムCA、mTLS、サンドボックス化されたコンテナと組み合わせる方法について説明します。 *** ## デプロイメントパターン Factoryでは3つの標準的なパターンをサポートしています。チームや環境間でパターンを組み合わせることができます。 ### 1. クラウド管理型デプロイメント このパターンでは、Droidが開発者マシンとビルドインフラストラクチャで実行され、**Factory cloud**がオーケストレーションとオプションの分析機能を提供します。 * 開発者のノートPCとワークステーション * CI/CDランナー(GitHub、GitLab、社内) * 任意のdevcontainerまたはリモート開発環境 * コントロールプレーンと組織メタデータ * 任意の利用分析ダッシュボード * Web UIの認証とアクセス制御 LLMトラフィックは**独自のゲートウェイとプロバイダー**を通じてルーティングすることができます。Factoryがモデルアクセスを仲介する必要はありません。 クラウド管理型デプロイメントは、適切にスコープされたクラウド利用を許可しながら、モデル、キー、テレメトリーに対する強力なガバナンスを求める組織に理想的です。 ### 2. ハイブリッドエンタープライズデプロイメント ハイブリッドデプロイメントでは、Droidは完全に貴社のインフラストラクチャ内で実行されますが、ユーザーエクスペリエンスと調整のためにFactory cloudを選択的に使用することもできます。 * Droidプロセスは**貴社のVM、コンテナ、CIランナー、リモート開発環境**で実行されます。 * LLMトラフィックは貴社のアカウント下で**貴社のLLMゲートウェイまたはクラウドプロバイダー**を通じて送信されます。 * OTELテレメトリーは**貴社のコレクタと可観測性スタック**に送信されます。 * クラウド機能を有効にした場合、Factory cloudは限定的なメタデータ(例:組織とプロジェクトの識別子)のみを確認することがあります。 このパターンは、**ネットワーク分離**と**中央ガバナンス**が必須の大企業や重要なインフラストラクチャで一般的です。 ### 3. 完全エアギャップデプロイメント 完全エアギャップデプロイメントでは: * Droidは**外部インターネット接続がない**隔離されたネットワークで実行されます。 * モデルは**オンプレミスまたはネットワーク内エンドポイント**から提供されます。 * OTELコレクタと可観測性ツールはエアギャップ内で完全にホストされます。 * Factory cloudは実行時に到達できません。アーティファクト(バイナリ、設定)はオフラインプロセスを通じてインポートされます。 これは国家安全保障、防衛、その他の高度に機密性の高いワークロードのデフォルトパターンです。 *** ## ネットワーク要件 ネットワーク要件はパターンごとに異なります。 ### クラウド管理型 モデルプロバイダーとOTELコレクタエンドポイントに加えて、Droidは通常次のものが必要です: * Factory cloudエンドポイント(例:`*.factory.ai`および関連ドメイン)へのアクセス。 * 設定されたLLMプロバイダーまたはLLMゲートウェイへの外部アクセス。 * OTELコレクタがローカルネットワーク外でホストされている場合、それらへの外部アクセス。 セキュリティチームは以下によってアクセスを制限できます: * 外部ホストを最小限のドメインセットに制限する。 * 以下で説明するHTTPSプロキシとカスタムCAを使用する。 * すべてのLLMトラフィックを中央ゲートウェイを通じてルーティングし監視する。 ### ハイブリッド ハイブリッドモードでは、Droidは通常以下のみが必要です: * **内部LLMゲートウェイとモデルエンドポイント**へのアクセス。 * **内部OTELコレクタとSIEM/可観測性スタック**へのアクセス。 * 特定の機能に対するFactory cloudエンドポイントへのオプションの、厳密にスコープされたアクセス。 プライベートサブネット、VPN、Kubernetesクラスター内でDroidを実行し、既存のすべてのファイアウォールとネットワーク制御を継承できます。 ### 完全エアギャップ 完全エアギャップ環境では: * Droidトラフィックは完全に**貴社のネットワーク内に封じ込められます**。 * 実行時に外部ドメインは必要ありません。 * Droidと設定バンドルの更新は、独自のアーティファクトリポジトリまたはオフラインプロセスを通じて処理されます。 *** ## プロキシ、カスタムCA、mTLS エンタープライズネットワークでは、HTTP(S)プロキシ、組織固有の認証局、相互TLSが頻繁に必要になります。 ### HTTP(S)プロキシサポート Droidは標準的なプロキシ環境変数を尊重します: ```bash theme={null} export HTTPS_PROXY="https://proxy.example.com:8080" export HTTP_PROXY="http://proxy.example.com:8080" # Bypass proxy for specific hosts export NO_PROXY="localhost,127.0.0.1,internal.example.com,.corp.example.com" ``` これらを使用して、DroidからLLMゲートウェイや任意のFactory cloudエンドポイントへのトラフィックを企業プロキシ経由でルーティングします。 ### カスタム認証局 組織がHTTPS検査や内部エンドポイントにカスタムCAを使用している場合、DroidがそれらのCAを信頼するよう実行時環境を設定してください(例:`NODE_EXTRA_CA_CERTS`やOS レベルの信頼ストア経由)。 ### 相互TLS (mTLS) ゲートウェイや内部APIを呼び出す際にクライアント証明書が必要な環境では、適切な証明書、キー、パスフレーズでコンテナ、VM、ランナーを設定してください。これらの設定は通常、Droidが使用するHTTPクライアントまたはプロキシレイヤーで処理されます。 *** ## セキュアなコンテナとVMでの実行 強化されたコンテナとVM内でDroidを実行することは、エージェントのミスや設定ミスによる**影響範囲を制限**する最も効果的な方法の一つです。 推奨パターンには以下があります: * **信頼できないコード用のDevcontainer** * 制限されたファイルシステムマウントと外部ネットワークルールを持つロックダウンされたdevcontainerを使用。 * これらのコンテナ内でのみ、ホスト上では決して直接実行せず、より高い自律性でDroidを実行。 * **機密性の高い操作用の隔離されたVM** * 本番環境に近い作業(例:移行ツール)専用のVMを作成。 * OSポリシーを使用して、それらのVMがアクセスできるリポジトリ、シークレット、ネットワークを制限。 * **CI/CDパイプライン** * 短命な認証情報と最小限の権限を持つ一時的なCIジョブでDroidを実行。 * フックとDroid Shieldと組み合わせて、リークを防止し承認ワークフローを強制。 これらの環境で自律性、許可/拒否リスト、Droid Shieldがどのように相互作用するかについては、[LLM Safety & Agent Controls](/jp/enterprise/llm-safety-and-agent-controls)を参照してください。 *** ## 設定画面 ネットワークとデプロイメント設定は以下を通じて表現されます: * **環境変数** – プロキシ、ゲートウェイ、OTELエンドポイント、カスタム証明書。 * **組織とプロジェクトの`.factory/settings.json`** – Droidが実行できる場所、許可されるモデルとゲートウェイ、デフォルトのテレメトリー送信先に関する階層的ポリシー。 * **組織設定エンドポイント** – 大組織向けに、中央設定サービスがすべての環境に標準的な`.factory`バンドルを配布可能。 * **システム管理 `settings.json`** – MDM で配布されたフリートやエアギャップ環境向けに、ハードコードされたプラットフォーム別パスに設定ファイルを配置すると、ユーザーが認証する前から組織ポリシーを有効にできます。詳細は [階層設定と組織管理](/jp/enterprise/hierarchical-settings-and-org-control#system-managed-settings-file) を参照してください。 階層と統合動作の詳細については、[階層設定と組織管理](/jp/enterprise/hierarchical-settings-and-org-control)を参照してください。