Betrieb

Netzwerk und Proxy für stabile API-Zugriffe

QuantenRam funktioniert im offenen Internet meist sofort, in Unternehmensnetzen aber nur dann wirklich zuverlässig, wenn Proxy, Zertifikate und VPN bewusst konfiguriert werden. Diese Seite beschreibt den minimalen, aber belastbaren Netzwerkpfad, den du für produktive API-Nutzung brauchst.

Der öffentliche Vertrag ist bewusst einfach: Clients sprechen per HTTPS mit https://quantenram.net/v1. Trotzdem entstehen reale Probleme häufig nicht im Payload, sondern im Weg dorthin. Corporate Proxies setzen CONNECT-Regeln anders um, TLS-Inspection bringt eigene Root-Zertifikate mit, VPN-Clients verändern DNS oder Latenzprofile, und manche Laufzeitumgebungen ignorieren Proxy-Einstellungen, obwohl die Shell scheinbar korrekt aussieht. Wer diese Ebene explizit macht, spart später viel Incident-Zeit.

Nur ausgehendes HTTPS ist erforderlich

Für normale API-Nutzung braucht dein Client keine eingehenden Freigaben. In der Regel genügt ausgehender Verkehr auf Port 443 zu quantenram.net sowie funktionierende DNS-Auflösung innerhalb deines Unternehmensnetzes.

Proxy-Regeln sollten explizit sein

Verlasse dich nicht auf zufällige Systemdefaults. Wenn ein Proxy gefordert ist, sollten HTTPS_PROXY, Ausnahmen ueber NO_PROXY und gegebenenfalls PAC- oder Gateway-Regeln pro Laufzeit dokumentiert sein.

TLS-Probleme sind häufig Trust-Store-Probleme

Wenn ein Unternehmensproxy HTTPS aufbricht, muss das passende Unternehmenszertifikat im Trust-Store der jeweiligen Laufzeit liegen. Fehlt diese Vertrauenskette, wirken Fehler schnell wie API-Ausfälle, obwohl in Wahrheit nur die Zertifikatsprüfung scheitert.

Firewall und ausgehende Freigaben

Im Normalfall brauchst du für QuantenRam ausschliesslich ausgehende HTTPS-Verbindungen. Das bedeutet praktisch: Deine Firewall oder dein Web-Gateway muss Anfragen an quantenram.net auf Port 443 erlauben und DNS-Auflösung für denselben Zielpfad nicht blockieren. Für API-Nutzung sind keine eingehenden Regeln, keine Webhooks und keine besonderen Sonderports auf Client-Seite erforderlich.

In restriktiveren Umgebungen sollte die Freigabe nicht nur für Browser, sondern explizit für die Laufzeit gelten, die später wirklich Requests sendet. Das klingt trivial, scheitert in der Praxis aber oft daran, dass ein Browser funktioniert, während curl, Python oder ein IDE-Plugin ueber einen anderen Proxy-Pfad oder einen anderen Zertifikatsspeicher laufen. Darum ist der Browser nur ein Sichttest, aber nie der letzte Beweis für funktionierende API-Konnektivität.

Proxy-Konfiguration sauber pro Shell und Runtime setzen

Wenn dein Unternehmen einen ausgehenden Proxy verlangt, sollte dieser für jede relevante Umgebung explizit gesetzt werden. Besonders wichtig ist das für CI, Container, WSL, Hintergrunddienste und IDE-integrierte Tools. Was in einem interaktiven Terminal funktioniert, gilt nicht automatisch für jeden anderen Prozess.

export HTTPS_PROXY="http://proxy.firma.intern:8080"
export HTTP_PROXY="http://proxy.firma.intern:8080"
export NO_PROXY="localhost,127.0.0.1,.firma.intern"

curl https://quantenram.net/v1/models \
  -H "Authorization: Bearer YOUR_API_KEY"

Unter Windows oder in PowerShell sollte dieselbe Logik genauso explizit sein. Gerade dort hängen manche Tools an WinHTTP, andere an Umgebungsvariablen und wieder andere an eigenen GUI-Einstellungen. Wenn du reproduzierbare Resultate willst, dokumentiere zuerst die Shell-Variante und prüfe dann genau dort.

$env:HTTPS_PROXY = "http://proxy.firma.intern:8080"
$env:HTTP_PROXY = "http://proxy.firma.intern:8080"
$env:NO_PROXY = "localhost,127.0.0.1,.firma.intern"

curl.exe https://quantenram.net/v1/models `
  -H "Authorization: Bearer YOUR_API_KEY"

Wenn dein Proxy Authentifizierung braucht, sollten die nötigen Zugangsdaten nur ueber die dafür vorgesehenen sicheren Mechanismen verteilt werden. Vermeide dabei lokale Hilfsskripte, die Proxy-Passwörter und API-Keys im Klartext in Logdateien oder Shell-Historien hinterlassen. Die eigentliche API funktioniert stabiler, wenn der Proxy-Pfad sauber und sparsam konfiguriert ist.

SSL- und TLS-Zertifikate richtig behandeln

Ein häufiger Fehler in Unternehmensumgebungen ist der Versuch, TLS-Probleme mit unsicheren Workarounds zu ueberspielen. Flags wie --insecure können für einen einmaligen Sichttest helfen, sind aber keine belastbare Betriebslösung. Sobald ein Corporate Proxy HTTPS inspiziert, muss das Unternehmenszertifikat in die Vertrauenskette der Laufzeit aufgenommen werden. Nur so bleiben Zertifikatsfehler von echten Serverproblemen unterscheidbar.

sudo cp firmen-root-ca.crt /usr/local/share/ca-certificates/firmen-root-ca.crt
sudo update-ca-certificates

export SSL_CERT_FILE="/etc/ssl/certs/ca-certificates.crt"

Das obige Muster passt gut zu Debian-, Ubuntu- und WSL-basierten Setups. In Windows kann stattdessen der System-Zertifikatsspeicher die richtige Stelle sein, während einige Python-Runtimes oder Container lieber einen expliziten Dateipfad sehen. Entscheidend ist nicht das Betriebssystem, sondern dass jede Laufzeit denselben Trust-Store oder bewusst dokumentierte Abweichungen nutzt.

VPNs verändern mehr als nur die Route

Ein VPN kann die Verbindung zu QuantenRam stabiler machen, wenn Unternehmensrichtlinien nur ueber den VPN-Pfad greifen. Es kann sie aber auch komplexer machen, etwa durch Split-Tunnel-Regeln, geaenderte DNS-Resolver oder zusätzliche Latenz. Wenn du sporadische Timeouts oder nur im Büro auftretende API-Probleme siehst, ist die Frage nach aktivem VPN, Tunnel-Modus und regionalem Exit oft wichtiger als die nächste Prompt-Änderung.

Praktisch bewährt sich ein Vergleichstest in drei Zuständen: ohne VPN, mit VPN und mit VPN plus Proxy. Wenn nur eine dieser drei Varianten stabil funktioniert, ist die Ursache fast nie das Modell selbst. Achte dabei besonders auf Streaming-Requests. Sie reagieren empfindlicher auf Proxy- und VPN-Timeouts als kurze nicht-streamende Testanfragen.

Konnektivität und TLS gezielt testen

Ein guter Netzwerktest sollte nicht nur sagen, dass "es nicht geht", sondern an welcher Stelle es hängt. curl -v zeigt dir DNS-Auflösung, Proxy-Nutzung, TLS-Handshake und den finalen HTTP-Status in einem Durchgang. Damit lässt sich sauber unterscheiden, ob die Störung vor dem Request, während des TLS-Aufbaus oder erst nach erfolgreicher API-Erreichbarkeit entsteht.

curl -v https://quantenram.net/v1/models \
  -H "Authorization: Bearer YOUR_API_KEY"

openssl s_client -connect quantenram.net:443 -servername quantenram.net

Der curl-Test ist im Alltag meist der wichtigste, weil er den kompletten Anwendungsweg prüft. openssl s_client ist dann hilfreich, wenn du vor allem Zertifikats- oder Trust-Store-Fragen klären musst. In beiden Fällen gilt: Verwende dieselbe Maschine, denselben Proxy und möglichst dieselbe Shell wie später im echten Produktivpfad. Sonst testest du nur eine nett aussehende Parallelwelt.

Timeouts und Streaming nicht gemeinsam pauschalisieren

Viele Teams setzen einen einzigen globalen Timeout und wundern sich dann ueber instabile Langantworten. In der Praxis ist es besser, Verbindungsaufbau und Lesephase getrennt zu betrachten. Ein kurzer Connect-Timeout ist sinnvoll, damit blockierte Proxies schnell sichtbar werden. Ein grosszügigerer Read-Timeout ist dagegen bei längeren Antworten oder Streaming deutlich realistischer.

Wenn Nicht-Streaming stabil funktioniert, Streaming aber häufig abbricht, ist das ein starkes Indiz für Netzwerk-, Proxy- oder VPN-Effekte. Dann sollte nicht sofort das Modell gewechselt werden, sondern zuerst die Transportstrecke unter realistischen Laufzeiten gemessen werden. Genau deshalb gehören Netzwerktests in den Betriebsalltag und nicht nur in die Ersteinrichtung.

Die belastbare Minimalformel für Unternehmensnetze lautet: ausgehendes HTTPS auf Port 443, expliziter Proxy statt impliziter Defaults, sauber installierte Corporate CA und ein realer curl-Test in genau der Laufzeit, die später produktive Requests sendet.