独享实例(Dedicated Instance)
从订阅制独享到企业级定制 —— 一条产品线满足从个人专业用户到大型企业的全部需求
Hydite Vtslx AO 的独享实例分为两个明确的产品层级:
🟦 订阅制独享(Subscription Dedicated) — 面向个人专业用户与中小企业,按月/年订阅即可独占一台 AO 实例,开箱即用、零运维。
🟪 企业定制(Enterprise Dedicated) — 面向大型企业、政企、金融、医疗等客户,在订阅制基础上叠加 BYOK、自部署 Agent、私有模型、SSO、白标、合规与定制路由 等高级能力,仅企业版会员可购买。
无论选哪一档,业务侧的代码都是同一套 OpenAI 兼容协议,迁移与升级零代码改动。
两档差异速览
| 能力维度 | 🟦 订阅制独享 (个人 / 企业基础版) | 🟪 企业定制 (仅 Enterprise 会员) |
|---|---|---|
| 集群归属 | 单租户独享 | 单租户独享 |
| 运行位置 | Hydite 云 | Hydite 云 / 客户云 / 客户机房 / 信创 |
| 接入模型 | 平台自营模型池 | 自营 + BYOK + 私有自建模型 |
| 路由策略 | 控制台预设组合 | 完全自定义 YAML / 灰度 / Header 路由 |
| 数据驻留 | Hydite 数据中心 | 客户全控(不出 VPC / 机房) |
| 网络 | 公网 + 平台子域名 | 公网 / 自定义域名 / VPC Peering / 专线 / mTLS |
| 身份 | 平台账户 + 基础 SSO | 企业 SAML / OIDC / SCIM |
| 控制台 | 标准界面 | 白标,可换 logo / 主题 / 域名 |
| 合规 | 标准 ToS + DPA | HIPAA / SOC2 / 等保三级 / 信创 / 离线许可证 |
| SLA | 99.9% | 99.95% 起 · 99.99% 可选 |
| 开通方式 | 控制台一键订阅 | 销售对接 + 解决方案设计 + 合同 |
| 计费 | 月/年订阅,按席位/RPM 阶梯 | 平台费 + 用量阶梯(BYOK 不收用量费) |
| 上线时间 | < 5 分钟 | 7 |
下文「✦ Subscription」标记的章节属于订阅制基础能力,「✦ Enterprise」标记的章节为企业版定制权限。
第一部分 · 订阅制独享 ✦ Subscription
1.1 什么是订阅制独享#
订阅制独享是「比共享边缘更强、比企业定制更轻」的一档:
- 在 Hydite 多区域云上为你拉起一个单租户的 AO 实例,独立的限流额度、独立的 Key 空间、独立的缓存与 DB。
- 与共享边缘相比,不再有跨租户限流影响,QPS / TPM 上限按订阅档位分配,可线性扩档。
- 与企业定制相比,不开放部署位置 / BYOK / 自定义路由,所有能力走平台预设。
适合人群:
- 已经把共享边缘的 60 RPM 跑满的重度个人开发者 / 独立 SaaS。
- 月度调用量在千万 ~ 亿 token、追求稳定首字延迟的中小企业。
- 需要专属子域名(如
acme.api.hydite.com)做品牌呈现,但又不想自建运维。 - 对数据驻留没有强合规要求,但希望用量、计费、Key 完全与他人隔离。
1.2 订阅档位#
| 档位 | 适用 | RPM 上限 | TPM 上限 | SSO |
|---|---|---|---|---|
| Pro(个人) | 资深开发者 / Indie | 600 | 5M | 邮箱 / Google / GitHub |
| Team | 5~50 人创业团队 | 3,000 | 30M | + 飞书 / 钉钉 / 企微 |
| Business | 中型企业 | 10,000+ | 按需 | + 基础 Okta / Azure AD |
| Enterprise | 大型企业 / 政企 | 不限 | 不限 | 完整 SAML / OIDC / SCIM |
仅 Enterprise 档位解锁本文「企业定制」章节中的全部能力;Pro / Team / Business 用户即便订阅了独享实例,无定制权限,需升级到 Enterprise。
1.3 三步开通#
控制台 Workspaces → Upgrade Plan:
- 选择档位(Pro / Team / Business),系统给出资源清单与月度报价。
- 完成支付(信用卡 / 月度发票),点击 Provision。
- ~5 分钟后实例就绪,控制台列出新的子域名(如
acme.api.hydite.com),把业务base_url切过去即可。
升级 / 降级随时进行:升档立即生效按比例补缴;降档周期末生效,已用配额不退;任意档位可暂停 30 天。
1.4 订阅档默认能力#
所有订阅档位都包含:
- ✅ 完整的 API Reference 接口
- ✅ 平台自营模型池(OpenAI · Anthropic · Google · DeepSeek · Qwen · Zhipu · Moonshot · xAI · Mistral …)
- ✅ Channels 多渠道隔离(dev / staging / prod)
- ✅ Key / Team / Org 三层配额与限流
- ✅ 控制台的 Overview / API Keys / Channels / Billing / System Health
- ✅ 异常检测自动暂停泄露 Key
- ✅ Prometheus
/metrics与基础 Webhook - ✅ 99.9% 可用性 SLA
但不包含:BYOK · 自部署 · 自定义路由 · 白标 · SAML/SCIM · 高级合规。这些都是企业定制的范畴。
第二部分 · 企业定制 ✦ Enterprise
🟪 本节内容仅 Enterprise 档位会员可购买与启用。 订阅档位(Pro / Team / Business)即便已经订阅独享实例,也不开放下列任何能力,需先升级到 Enterprise。
2.1 为什么是「定制」#
Enterprise 档位面向的是真正不能用通用 SaaS 解决问题的客户:
- 数据合规:金融、医疗、政企、央国企,调用涉及个人敏感信息或经营机密。
- 算力主权:必须用自己的 GPU 集群跑私有微调模型。
- 商业自主:使用自己和供应商签的合同(BYOK),账单不经 Hydite 抽成。
- 品牌自主:把 AO 控制台白标后转售给二级客户。
- 网络隔离:只允许通过 VPC Peering / 专线 / 内网域名访问。
- 运维边界:升级、配置、安全策略全部归属于客户安全团队。
2.2 三种部署形态#
| 形态 | 控制平面 | 数据平面(推理路径) | 上线时间 | 适用 |
|---|---|---|---|---|
| A · Hydite Cloud Dedicated | Hydite 云 | Hydite 云 | 1~3 天 | 想要企业级定制能力,但不想自部署 |
| B · Connected Self-Host(推荐) | Hydite 云控制台 | 客户自部署 Agent | 5~10 天 | 数据不出 VPC,但希望用 Hydite 现成的控制台与升级机制 |
| C · Air-Gapped Self-Host | 客户机房 | 客户机房 | 2~4 周 | 完全断网、信创、涉密、等保三级及以上 |
形态 B 是新一代主推方案:兼顾"数据不出境"与"零运维负担",详见下一节。
2.3 Connected Self-Host:控制平面 / 数据平面分离#
1┌───────────────────────────────┐ ┌──────────────────────────────────────┐2│ Hydite 云控制平面 │ │ 客户 VPC / 机房 │3│ control.hydite.com │ │ │4│ │ │ ┌──────────────────────────────┐ │5│ • 白标 Dashboard │◀───────┤ │ Hydite AO Agent(签名镜像) │ │6│ • IAM / SSO / RBAC │ mTLS │ │ • 出站长连接(无入口端口) │ │7│ • Site 管理 + Token 签发 │ 心跳 │ │ • 拉取路由 / 黑白名单 │ │8│ • 路由配置(YAML / Git) │ 配置 │ │ • 上报 token 计数 / 健康度 │ │9│ • 用量聚合(仅元数据) │ 下发 │ │ • 本地 Routing / Cache / DB │ │10│ • 审计 / 告警 / 计费 │ │ └────────────┬──────────────────┘ │11└───────────────────────────────┘ │ │ │12 │ ┌────────────▼──────────────────┐ │13 │ │ 你的 App │ │14 │ │ base_url=hydite-ao.svc:443 │ │15 │ └────────────┬──────────────────┘ │16 │ │ │17 │ ┌────────────▼──────────────────┐ │18 │ │ LLM 供应商(BYOK 直连) │ │19 │ │ + 私有自建模型 │ │20 │ └────────────────────────────────┘ │21 └──────────────────────────────────────┘数据流向矩阵
| 流向 | 内容 | 是否经过 Hydite 云 |
|---|---|---|
| App → Agent → LLM 供应商 | prompt / completion / 用户业务数据 | ❌ 永不经过 |
| 供应商 API Key(BYOK) | 写入客户本地加密 Vault | ❌ 永不经过 |
| Agent → 控制台 | 心跳、token 计数、错误码、延迟分位、虚拟 Key 元数据 | ✅(mTLS 加密 / 可脱敏) |
| 控制台 → Agent | 路由 YAML、Guardrail 规则、Key 黑名单、版本升级 | ✅(mTLS 单向下发) |
业务数据 100% 留在客户边界,控制平面只看到「审计指纹」—— 足够支撑计费、告警、合规审计。
源码与算法保护
- Agent 以 Distroless 容器镜像 + Helm Chart 形式分发,不开放源代码。
- 镜像通过
registry.hydite.com私有仓库分发,Pull Secret 与 Site Token 一一绑定,离职 / 异常即吊销。 - 镜像由 Cosign / Sigstore 签名,启动时验证 + Hydite 公钥校验,禁止反编译运行。
- 关键算法(路由策略、缓存键算法、计费算法)以 WASM 模块形式由控制台远程下发,本地不落地。
安装流程
Step 1 — 控制台签发 Site:
控制台 → Sites → Create Site,填写名称 / 合规等级 / 网络模式,系统返回:
1SITE_ID=site_xxxxxxxxxxxxxxxxxxxx2SITE_TOKEN=hyt_site_eyJhbGciOi... # 短期 JWT,首次注册后换 mTLS 证书3HYDITE_REGISTRY_PULL_SECRET=...Step 2 — 客户 K8s 拉起 Agent:
1helm repo add hydite https://charts.hydite.com2helm install hydite-ao hydite/ao-agent \3 --set site.id=$SITE_ID \4 --set site.token=$SITE_TOKEN \5 --set registry.pullSecret=$HYDITE_REGISTRY_PULL_SECRET \6 --set network.egress=via-corp-proxy # 可选:经企业出口代理Step 3 — Agent 出站注册:
Agent 连 wss://control.hydite.com/agent,完成 mTLS 双向认证,控制台 Site 状态变绿。
Step 4 — 业务切流:
1client = OpenAI(api_key=key, base_url="http://hydite-ao.acme.svc:443/v1")调用全程100% 内网完成,零 Inbound 端口,符合零信任原则。
2.4 Air-Gapped 离线许可证#
完全断网客户走离线许可证模式:
- Hydite 颁发离线许可证:含到期日、RPM 上限、模型白名单、Hydite 私钥签名。
- Agent 启动时只验证许可证签名 + 时钟漂移容忍范围,无需任何控制平面联通。
- 配置变更走离线包:控制台导出
config.yaml.signed→ 物理介质拷入内网 → Agent 加载。 - 用量回传走离线对账:Agent 周期生成
usage-{date}.signed.json→ 客户拷出 → 控制台导入对账。 - 适配信创栈:鲲鹏 / 麒麟 / OceanBase / 华为云 Stack / 中标麒麟 / 统信 UOS。
2.5 BYOK 与私有模型接入#
1# 一份典型的路由配置(仅企业定制可用)2models:3 - alias: claude-sonnet-4-54 provider:5 name: anthropic6 model: claude-sonnet-4-57 api_key: ${ACME_ANTHROPIC_KEY} # 你自己的 Anthropic 账号8 api_base: https://api.anthropic.com9 tags: [prod]10 - alias: claude-sonnet-4-5 # 同别名 → 自动 Fallback11 provider:12 name: bedrock13 model: anthropic.claude-sonnet-4-514 region: cn-northwest-1 # 中国区 Bedrock15 tags: [fallback, cn]16 - alias: acme-finetune-v3 # 自部署私有模型17 provider:18 name: openai-compatible # 任何 OpenAI 兼容端点都可接入19 api_base: http://vllm.internal:8000/v120 tags: [private, on-prem]- 公有供应商 BYOK:账单直接进入你和供应商的合同,Hydite 不抽用量费,仅按企业平台费收订阅。
- 支持 100+ 接入点:Anthropic / OpenAI / Bedrock / Azure OpenAI / Vertex / DeepSeek / Qwen / Zhipu / Moonshot / xAI / Mistral / DashScope / Volcengine / Tencent / Baidu …
- 私有模型接入:vLLM / TGI / SGLang / LMDeploy / Triton / Ollama / 信创推理栈,任何 OpenAI 兼容端点皆可。
- 公私模型可绑定同一别名做灰度(如 70% 私有微调 / 30% Anthropic / 超时回落 GPT-4o)。
2.6 自定义路由策略#
| 策略 | 适用 |
|---|---|
| Latency-based | 全球部署,按 P95 选最优节点 |
| Cost-based | 多家可用模型按单价择优 |
| Tag-based | 按 tags: [cn, eu] 做地理路由 |
| Header-based | 按 x-customer-tier: enterprise 路由 |
| A/B / Canary | 灰度新模型 10% / 30% / 100% |
| Sticky session | 用户级粘性,最大化缓存命中 |
所有策略通过 YAML 声明式配置,控制台可视化编辑 + Git 版本化。订阅档位仅能使用预设组合。
2.7 身份与访问控制#
| 能力 | 说明 |
|---|---|
| 企业 SSO | SAML 2.0 / OIDC(Okta · Azure AD · 飞书 · 钉钉 · 企微) |
| SCIM 自动同步 | 用户 / 群组 / 离职状态自动同步 |
| 细粒度 RBAC | Org Admin / Team Lead / Developer / Viewer + 自定义角色 |
| 审计可追溯 | 控制台所有操作写入审计流水 |
| API 操作签名 | 高危操作 HMAC + 二次确认 |
| 网络 ACL | 控制台 / API 限定来源 IP / CIDR / VPN |
订阅档位仅提供基础 SSO(详见 1.2 表格);SAML / OIDC / SCIM 仅企业定制开放。
2.8 网络拓扑#
可任选组合:
- 公网 + 自定义顶级域名 —
https://ai.acme.com/v1,自动 ACME 或自带证书。 - VPC Peering / PrivateLink — 客户 VPC 内 ENI / Endpoint,流量不出私网。
- 专线 — 阿里云高速通道 / AWS Direct Connect / Azure ExpressRoute。
- IP 白名单 + mTLS + 零信任出口(Zscaler / Cloudflare Access)。
- 多区域独享:例如华东主集群 + 华北灾备 + 海外新加坡,AO 路由层做跨域 Fallback。
订阅档位仅支持「公网 + 平台子域名」一种方式。
2.9 容量、性能与 SLA#
| 指标 | 订阅独享 | 企业定制 |
|---|---|---|
| RPM / TPM 上限 | 按档位 | 不限(按集群容量) |
| 单副本持续 QPS | < 1k | 5k+,可线性扩展 |
| P50 首字延迟 | < 50ms | < 30ms |
| 可用性 SLA | 99.9% | 99.95% 起 · 99.99% 可选 |
| RTO / RPO | 30 min / 1 h | 5 min / 0(多 AZ) · 30 s / 0(多 Region) |
| 故障赔偿 | — | 与平台费按比例联动 |
2.10 可观测性#
订阅独享与企业定制都包含 Overview / Anomaly / API Keys / Channels / System Health 五大控制台页签和 GET /metrics。仅企业定制额外开放:
- 白标控制台:换 logo、主题、域名(如
console.acme.com),可对外二次销售。 - 结构化审计日志:每次调用 + 控制台事件以 NDJSON 推到客户的 S3 / OSS / Splunk / ES / 阿里云 SLS。
- 回放与调试:开启 Logging 后任意调用可在控制台查看完整 prompt / completion / token / 上游耗时。
- 自带 KMS:审计与缓存的静态加密使用客户 CMK(AWS KMS / Azure Key Vault / GCP KMS / HashiCorp Vault)。
2.11 上线流程#
典型 4 步,首条业务流量 7~10 个工作日:
- 需求对齐(D+0~3) — 解决方案架构师对接,确认部署形态、合规、容量、网络、IDP / SIEM / 模型供应商。
- 环境交付(D+3~7) — Hydite 部署集群(Hydite Cloud 当天 / Customer Cloud 由 IaC 自动拉起 / On-Prem 离线包交付)。完成 SSO、域名、证书、KMS、私有模型注册。
- 联调与压测(D+7~10) — 兼容性测试套件 + 业务回放压测,验收 RPM / 延迟 / 成本三项指标。
- 切流与上线 — 业务侧仅切
base_url,灰度后正式上线。零代码改动。
后续运维由 Hydite 客户成功团队跟进:季度容量复核 + 半年度灾备演练 + 重大供应商变更通知 + 专属 Slack/飞书群 + 7×24 P1 工单 SLA。
2.12 商业模型#
企业定制采用 平台费 + 用量阶梯 双轨制:
- 平台费:覆盖集群基础设施、控制台、SLA、客户成功,按规模和 SLA 等级阶梯定价。
- 用量费:按实际 token 消耗,Hydite 直采的供应商享受批量折扣;BYOK 模式下 Hydite 不抽用量费,仅收路由与审计的微量加价。
- 专业服务(可选):模型微调、Agent 工作流共建、合规驻场审计、信创栈适配等。
报价基于一份 30 分钟解决方案对话。请在控制台 Workspaces → Upgrade to Enterprise 提交,或联系 enterprise@hydite.com。
升级路径
1共享边缘 (免费/按量) → 订阅独享 Pro → Team → Business → 企业定制 (Enterprise)2 ↑ ↑ ↑3 解锁单租户隔离 解锁基础企业 SSO 解锁 BYOK / 自部署 / 白标 / SAML每一步升级都无需修改业务代码:
- 共享 → 订阅独享:控制台「Upgrade Plan」一键触发,原 Key / Channel / 用量历史平移。
- 订阅 → 企业定制:销售签约后,将订阅独享集群迁移至企业定制(或建立 Connected Self-Host 双活),过渡期内双活,原 Key 通过
/key/migrate平滑搬迁。
下一步
- 查看完整接口清单 → API Reference
- 评估订阅独享 → 控制台 Workspaces → Upgrade Plan
- 评估企业定制 → 联系 enterprise@hydite.com
- 对比共享版 → Shared Edge Instance