dstack

Own your confidential cloud.

Open-source TEE infrastructure for apps, agents, and private AI without cryptography overhead.

LINUX
FOUNDATION
dstack
Phala
Google
AWS
DeepWiki GitHub
cloud.dstack.dev

Instances

Confidential workloads

Search instances...

Sessions by instance

completeactiveerror
prodstageagentgpudatatraindevedge
NameTypeRegionSessionsLast usedStatus
prod-tee-01H100 80GBUS-West-23472 minActive
staging-vm-04Intel TDX 16vCPUEU-Central-12188 minActive
ai-agent-m2AMD SEV-SNP 8vCPUUS-East-115612 minActive
inference-gpu-3H100 80GBUS-West-214215 minActive

Voie d’exécution

Garanties d’architecture

dstack transforme le matériel TEE en un chemin d’exécution vérifiable avant que les pairs, les clés ou le trafic ne soient dignes de confiance.

01

Intégrité du code

02

Confidentialité des données

03

Identité de charge de travail

Bare Metal HostExternal UsersbrowserAPI clientagentGateway CVMdstack-gatewayGateway Serviceport 9202dstack-vmmHost Serviceport 9080create / manageApplication CVMGuest AgentDstackGuestRpcUnix Socket/var/run/dstack.sockDocker ContainerYour applicationKMS CVMdstack-kmsKMS Serviceport 9201Ethereum BlockchainDstackKmsDstackAppContractsHTTPSWireGuard VPNCreate / ManageBoot AuthorizationKey RequestRA-TLSAuthorization QuerySource: External Users → Gateway → VMM → App CVM / KMS CVM → Blockchain, from dstack_overview.mmd.

01

External users

HTTPS traffic enters through the gateway boundary.

02

Gateway CVM

dstack-gateway terminates public access and routes over WireGuard.

03

VMM

dstack-vmm creates and manages application CVMs on the host.

04

CVM d’application

Guest Agent exposes the dstack socket to Docker workloads.

05

KMS CVM

dstack-kms verifies attestation before releasing secrets.

06

Blockchain policy

DstackKms and DstackApp contracts define authorization state.

07

Chemin de confiance

RA-TLS and key requests bind runtime state to access.

Lire les docs de conception

Pourquoi Dstack

dstack est la pile complète pour développeurs autour du matériel TEE : lancement natif Docker, état d’exécution reproductible, clés attestées, accès passerelle, prise en charge GPU et gouvernance.

01

Intégration sans friction

Importez Docker Compose tel quel.

dstack utilise l’isolation complète de la VM, ce qui permet aux équipes de déployer un docker-compose.yaml existant sans porter le code vers des SDK spécifiques aux enclaves. Le trafic réseau et l’état du disque sont chiffrés par défaut.

compose
preuve
policy

Confidential computing for AI

Hardware-backed TEEs with cryptographic verification

Active

42

Verified

98.7%

InstanceTypeTEEStatus
prod-inference-01H100 80GBVerifiedrunning
ml-training-04H200 141GBVerifiedrunning
data-pipeline-xIntel TDX 32vCPUVerifiedrunning
ai-agent-m2AMD SEV-SNP 16vCPUVerifiedrunning
staging-vm-09Intel TDX 8vCPUVerifiedidle

Trust Center

Inspectable proof graph.

Evidence objects connect the workload, source, image, event logs, hardware quote, KMS path, and gateway endpoint.

selected proof

Gateway attestation

status verified

report intel_quote

receipt gateway_app_id

Gateway

tls_endpoint

linked

Code

compose_hash

linked

OS Image

rtmr0..3

linked

KMS

app_key

linked

Logs

event_log

linked

02

Sécurité ancrée dans le matériel

Privé par le matériel, vérifiable par tous.

Intel TDX protège la mémoire de l’application contre les opérateurs hôtes. Des images OS reproductibles, l’identité de la charge de travail, les journaux d’événements RTMR et les rapports d’attestation rendent l’état d’exécution inspectable.

Voir le Trust Center
compose
preuve
policy

03

Opérations sans confiance

Les clés et les mises à niveau suivent la politique.

Les clés par application sont dérivées dans les TEEs et libérées uniquement après validation de l’attestation. Les règles de gouvernance du code empêchent les opérateurs d’échanger les charges de travail ou d’extraire des secrets.

compose
preuve
policy

Policy lifecycle

Effective policy is enforced.

governed

GPU Marketplace

Reserve confidential GPU capacity and keep the proof path intact.

H100H200B300Available now

NVIDIA H100

NVIDIA CC

from $2.38/hr

memory80GBregionus-east

TEE ready

NVIDIA H200

NVIDIA CC

from $3.20/hr

memory141GBregionus-east

verified

NVIDIA B300

NVIDIA CC

from $5.60/hr

memory288GBregionus-east

private AI

04

TEE CPU et GPU

Un seul chemin d’exécution pour les services et les modèles.

Exécutez des services CPU et des GPU NVIDIA Confidential Computing sous le même modèle de confiance, y compris les charges de travail IA privées H100 et de classe Blackwell.

compose
preuve
policy

05

Stack open source

Code ouvert, piste d’audit visible.

dstack est un projet open source de la Linux Foundation avec une surface d’audit que les développeurs peuvent inspecter : code, images reproductibles, comportement du KMS, chemins de passerelle et état des politiques.

compose
preuve
policy

audit report

dstack security review

PDF

Comparison

Hardware primitive vs full stack.

Cloud providers give you the TEE hardware primitive. dstack adds the reproducible OS, automatic attestation, per-app key derivation, TLS certificates, and smart contract governance.

Approach
Docker native
GPU TEE
Key management
Attestation tooling
Open source

dstack

Full open-source stack

AWS Nitro Enclaves

Hardware primitive

manual
manual

Azure Confidential VMs

Cloud platform primitive

preview
manual
manual

GCP Confidential Computing

Cloud platform primitive

manual
manual
No vendor lock-in
Bring Docker apps
Verify before trust

Start building

Build a confidential cloud you can inspect.

Use the repo when you want ownership. Use Phala Cloud when you want managed capacity. Keep GitHub, DeepWiki, and docs one click away.

GitHub DeepWikiDocsTry Phala Cloud

self-hosted

dstack-cloud

Run dstack control plane for your own hosts, AWS, GCP, or BYOH path.

AWS path

Nitro support

Use the Nitro Enclave support repo when AWS is the deployment boundary.

Phala

Exécution privée. Résultats vérifiables.

Newsletter

© 2026 Hashforest Technology. Tous droits réservés. ConfidentialitéConditions