Betrieb

Netzwerk und Proxy fuer stabile API-Zugriffe

QuantenRam funktioniert im offenen Internet meist sofort, in Unternehmensnetzen aber nur dann wirklich zuverlaessig, wenn Proxy, Zertifikate und VPN bewusst konfiguriert werden. Diese Seite beschreibt den minimalen, aber belastbaren Netzwerkpfad, den du fuer produktive API-Nutzung brauchst.

Der oeffentliche Vertrag ist bewusst einfach: Clients sprechen per HTTPS mit https://quantenram.net/v1. Trotzdem entstehen reale Probleme haeufig nicht im Payload, sondern im Weg dorthin. Corporate Proxies setzen CONNECT-Regeln anders um, TLS-Inspection bringt eigene Root-Zertifikate mit, VPN-Clients veraendern DNS oder Latenzprofile, und manche Laufzeitumgebungen ignorieren Proxy-Einstellungen, obwohl die Shell scheinbar korrekt aussieht. Wer diese Ebene explizit macht, spart spaeter viel Incident-Zeit.

Nur ausgehendes HTTPS ist erforderlich

Fuer normale API-Nutzung braucht dein Client keine eingehenden Freigaben. In der Regel genuegt ausgehender Verkehr auf Port 443 zu quantenram.net sowie funktionierende DNS-Aufloesung innerhalb deines Unternehmensnetzes.

Proxy-Regeln sollten explizit sein

Verlasse dich nicht auf zufaellige Systemdefaults. Wenn ein Proxy gefordert ist, sollten HTTPS_PROXY, Ausnahmen ueber NO_PROXY und gegebenenfalls PAC- oder Gateway-Regeln pro Laufzeit dokumentiert sein.

TLS-Probleme sind haeufig Trust-Store-Probleme

Wenn ein Unternehmensproxy HTTPS aufbricht, muss das passende Unternehmenszertifikat im Trust-Store der jeweiligen Laufzeit liegen. Fehlt diese Vertrauenskette, wirken Fehler schnell wie API-Ausfaelle, obwohl in Wahrheit nur die Zertifikatspruefung scheitert.

Firewall und ausgehende Freigaben

Im Normalfall brauchst du fuer QuantenRam ausschliesslich ausgehende HTTPS-Verbindungen. Das bedeutet praktisch: Deine Firewall oder dein Web-Gateway muss Anfragen an quantenram.net auf Port 443 erlauben und DNS-Aufloesung fuer denselben Zielpfad nicht blockieren. Fuer API-Nutzung sind keine eingehenden Regeln, keine Webhooks und keine besonderen Sonderports auf Client-Seite erforderlich.

In restriktiveren Umgebungen sollte die Freigabe nicht nur fuer Browser, sondern explizit fuer die Laufzeit gelten, die spaeter wirklich Requests sendet. Das klingt trivial, scheitert in der Praxis aber oft daran, dass ein Browser funktioniert, waehrend curl, Python oder ein IDE-Plugin ueber einen anderen Proxy-Pfad oder einen anderen Zertifikatsspeicher laufen. Darum ist der Browser nur ein Sichttest, aber nie der letzte Beweis fuer funktionierende API-Konnektivitaet.

Proxy-Konfiguration sauber pro Shell und Runtime setzen

Wenn dein Unternehmen einen ausgehenden Proxy verlangt, sollte dieser fuer jede relevante Umgebung explizit gesetzt werden. Besonders wichtig ist das fuer CI, Container, WSL, Hintergrunddienste und IDE-integrierte Tools. Was in einem interaktiven Terminal funktioniert, gilt nicht automatisch fuer jeden anderen Prozess.

export HTTPS_PROXY="http://proxy.firma.intern:8080"
export HTTP_PROXY="http://proxy.firma.intern:8080"
export NO_PROXY="localhost,127.0.0.1,.firma.intern"

curl https://quantenram.net/v1/models \
  -H "Authorization: Bearer YOUR_API_KEY"

Unter Windows oder in PowerShell sollte dieselbe Logik genauso explizit sein. Gerade dort haengen manche Tools an WinHTTP, andere an Umgebungsvariablen und wieder andere an eigenen GUI-Einstellungen. Wenn du reproduzierbare Resultate willst, dokumentiere zuerst die Shell-Variante und pruefe dann genau dort.

$env:HTTPS_PROXY = "http://proxy.firma.intern:8080"
$env:HTTP_PROXY = "http://proxy.firma.intern:8080"
$env:NO_PROXY = "localhost,127.0.0.1,.firma.intern"

curl.exe https://quantenram.net/v1/models `
  -H "Authorization: Bearer YOUR_API_KEY"

Wenn dein Proxy Authentifizierung braucht, sollten die noetigen Zugangsdaten nur ueber die dafuer vorgesehenen sicheren Mechanismen verteilt werden. Vermeide dabei lokale Hilfsskripte, die Proxy-Passwoerter und API-Keys im Klartext in Logdateien oder Shell-Historien hinterlassen. Die eigentliche API funktioniert stabiler, wenn der Proxy-Pfad sauber und sparsam konfiguriert ist.

SSL- und TLS-Zertifikate richtig behandeln

Ein haeufiger Fehler in Unternehmensumgebungen ist der Versuch, TLS-Probleme mit unsicheren Workarounds zu ueberspielen. Flags wie --insecure koennen fuer einen einmaligen Sichttest helfen, sind aber keine belastbare Betriebsloesung. Sobald ein Corporate Proxy HTTPS inspiziert, muss das Unternehmenszertifikat in die Vertrauenskette der Laufzeit aufgenommen werden. Nur so bleiben Zertifikatsfehler von echten Serverproblemen unterscheidbar.

sudo cp firmen-root-ca.crt /usr/local/share/ca-certificates/firmen-root-ca.crt
sudo update-ca-certificates

export SSL_CERT_FILE="/etc/ssl/certs/ca-certificates.crt"

Das obige Muster passt gut zu Debian-, Ubuntu- und WSL-basierten Setups. In Windows kann stattdessen der System-Zertifikatsspeicher die richtige Stelle sein, waehrend einige Python-Runtimes oder Container lieber einen expliziten Dateipfad sehen. Entscheidend ist nicht das Betriebssystem, sondern dass jede Laufzeit denselben Trust-Store oder bewusst dokumentierte Abweichungen nutzt.

VPNs veraendern mehr als nur die Route

Ein VPN kann die Verbindung zu QuantenRam stabiler machen, wenn Unternehmensrichtlinien nur ueber den VPN-Pfad greifen. Es kann sie aber auch komplexer machen, etwa durch Split-Tunnel-Regeln, geaenderte DNS-Resolver oder zusaetzliche Latenz. Wenn du sporadische Timeouts oder nur im Buero auftretende API-Probleme siehst, ist die Frage nach aktivem VPN, Tunnel-Modus und regionalem Exit oft wichtiger als die naechste Prompt-Aenderung.

Praktisch bewaehrt sich ein Vergleichstest in drei Zustaenden: ohne VPN, mit VPN und mit VPN plus Proxy. Wenn nur eine dieser drei Varianten stabil funktioniert, ist die Ursache fast nie das Modell selbst. Achte dabei besonders auf Streaming-Requests. Sie reagieren empfindlicher auf Proxy- und VPN-Timeouts als kurze nicht-streamende Testanfragen.

Konnektivitaet und TLS gezielt testen

Ein guter Netzwerktest sollte nicht nur sagen, dass "es nicht geht", sondern an welcher Stelle es haengt. curl -v zeigt dir DNS-Aufloesung, Proxy-Nutzung, TLS-Handshake und den finalen HTTP-Status in einem Durchgang. Damit laesst sich sauber unterscheiden, ob die Stoerung vor dem Request, waehrend des TLS-Aufbaus oder erst nach erfolgreicher API-Erreichbarkeit entsteht.

curl -v https://quantenram.net/v1/models \
  -H "Authorization: Bearer YOUR_API_KEY"

openssl s_client -connect quantenram.net:443 -servername quantenram.net

Der curl-Test ist im Alltag meist der wichtigste, weil er den kompletten Anwendungsweg prueft. openssl s_client ist dann hilfreich, wenn du vor allem Zertifikats- oder Trust-Store-Fragen klaeren musst. In beiden Faellen gilt: Verwende dieselbe Maschine, denselben Proxy und moeglichst dieselbe Shell wie spaeter im echten Produktivpfad. Sonst testest du nur eine nett aussehende Parallelwelt.

Timeouts und Streaming nicht gemeinsam pauschalisieren

Viele Teams setzen einen einzigen globalen Timeout und wundern sich dann ueber instabile Langantworten. In der Praxis ist es besser, Verbindungsaufbau und Lesephase getrennt zu betrachten. Ein kurzer Connect-Timeout ist sinnvoll, damit blockierte Proxies schnell sichtbar werden. Ein grosszuegigerer Read-Timeout ist dagegen bei laengeren Antworten oder Streaming deutlich realistischer.

Wenn Nicht-Streaming stabil funktioniert, Streaming aber haeufig abbricht, ist das ein starkes Indiz fuer Netzwerk-, Proxy- oder VPN-Effekte. Dann sollte nicht sofort das Modell gewechselt werden, sondern zuerst die Transportstrecke unter realistischen Laufzeiten gemessen werden. Genau deshalb gehoeren Netzwerktests in den Betriebsalltag und nicht nur in die Ersteinrichtung.

Die belastbare Minimalformel fuer Unternehmensnetze lautet: ausgehendes HTTPS auf Port 443, expliziter Proxy statt impliziter Defaults, sauber installierte Corporate CA und ein realer curl-Test in genau der Laufzeit, die spaeter produktive Requests sendet.