Saltar al contenido principal
AgentEye es una plataforma de observabilidad y evaluación autoalojada para agentes de IA y LLM. Captura sesiones de agentes, llamadas a herramientas, solicitudes al modelo y errores; los convierte en analíticas y evaluaciones con capacidad de búsqueda, y presenta los resultados en un panel con un asistente de IA opcional de solo lectura. En el modelo de despliegue administrado, tú provees un clúster de Kubernetes dedicado y Exosphere ejecuta toda la plataforma dentro de él: despliega, configura, opera, hace copias de seguridad y actualiza cada componente en tu nombre. Tu equipo obtiene el valor de la plataforma (visibilidad de agentes, analíticas, evaluación y el asistente opcional) sin necesidad de gestionar bases de datos, certificados ni actualizaciones. Todos los datos permanecen dentro de tu cuenta en la nube.

Requisitos previos

  • Un PAT de GitHub para descargar imágenes de contenedores y artefactos (consulta enterprise-docs/github-token.md)
  • Un clúster de Kubernetes dedicado (consulta los requisitos a continuación)
  • Un bucket de almacenamiento para copias de seguridad de bases de datos
  • Conectividad de red: puerto 443 de entrada al balanceador de carga del clúster

Paso 1: Aprovisionar un Clúster de Kubernetes Dedicado

Crea un clúster de Kubernetes dedicado exclusivamente a AgentEye. No debe compartirse con otras cargas de trabajo, de modo que la plataforma completa (servicios de aplicación, bases de datos, analíticas y caché) se ejecute en aislamiento sin afectar tu infraestructura existente.
RequisitoDetalles
DistribuciónCualquier Kubernetes conforme: EKS, GKE, AKS o autoalojado
Versión1.27 o posterior
Pool de nodosMínimo: 3 nodos, 4 vCPU / 8 GB RAM cada uno (instancias de propósito general estándar)
AlmacenamientoUna StorageClass predeterminada que aprovisione volúmenes en bloque (p. ej. gp3 en AWS, pd-ssd en GCP)
Balanceador de cargaEl clúster debe poder aprovisionar servicios LoadBalancer en la nube (predeterminado en EKS, GKE, AKS)
Exosphere instala y gestiona todo lo demás dentro del clúster: controladores de ingress, certificados TLS, bases de datos, caché, monitoreo y todos los despliegues de aplicaciones.

Paso 2: Otorgar Acceso al Equipo de AgentEye

Exosphere necesita acceso cluster-admin (o RBAC amplio equivalente) para gestionar namespaces, definiciones de recursos personalizados, controladores de ingress y aprovisionadores de almacenamiento.
RequisitoDetalles
Método de accesoRol IAM (preferido para EKS/GKE), kubeconfig o acceso basado en SSO
VPN / bastionSi el servidor de API de Kubernetes es privado, proporciona credenciales de VPN o acceso bastion para el equipo de operaciones de Exosphere

Paso 3: Configurar la Conectividad de Red

Tu equipo de red debe permitir tráfico de entrada en el puerto 443 hacia los balanceadores de carga del clúster. El despliegue utiliza dos balanceadores de carga separados: uno para la ingesta de eventos (protegido con mTLS) y otro para el panel:
TráficoOrigenDestinoSeguridad
Ingesta de eventosPods del colector en tus clústeresIngest LoadBalancer, puerto 443mTLS (certificado de cliente) + clave de API
PanelNavegadores de desarrolladoresDashboard LoadBalancer, puerto 443HTTPS en tu dominio, inicio de sesión OTP por correo electrónico sin contraseña
El endpoint de ingesta está protegido por TLS mutuo; los colectores deben presentar un certificado de cliente válido y una clave de API válida en cada solicitud. El panel se ejecuta en su propio balanceador de carga y hostname, con el inicio de sesión restringido a las direcciones de correo electrónico o dominios que incluyas en tu lista de permitidos. Registros DNS (única vez): creas dos registros CNAME bajo un dominio que controlas — uno para el endpoint de ingesta y otro para el panel (p. ej. agenteye.tu-empresa.ejemplo) — apuntando a los hostnames del balanceador de carga que Exosphere proporciona. Exosphere luego aprovisiona certificados TLS de confianza pública para ambos hostnames de forma automática, incluyendo las renovaciones.
Nota sobre el puerto 80: la emisión y renovación automática de certificados valida mediante HTTP en el puerto 80 de cada balanceador de carga. Si tu postura de seguridad requiere restringir el balanceador de carga del panel a rangos de IP corporativos, comunícaselo a Exosphere primero — cambiamos la validación de certificados a un método basado en DNS (un registro DNS adicional de tu parte) para que las renovaciones sigan funcionando detrás de la restricción.
Saliente: los nodos del clúster necesitan acceso a Internet para descargar imágenes de contenedores desde ghcr.io. Si tu red restringe el tráfico saliente, agrega ghcr.io a la lista de permitidos o replica las imágenes en tu registro interno.

Paso 4: Proporcionar un Bucket de Almacenamiento para Copias de Seguridad

Las copias de seguridad de las bases de datos se almacenan en un bucket de almacenamiento en la nube de tu propiedad.
RequisitoDetalles
ServicioS3 (AWS), GCS (GCP) o Azure Blob Storage
AccesoOtorga acceso de escritura a los nodos del clúster mediante rol IAM para cuentas de servicio (IRSA en EKS, Workload Identity en GKE) o proporciona credenciales
RetenciónTú controlas la política de ciclo de vida del bucket (período de retención, reglas de archivado). Exosphere escribe las copias de seguridad; tú decides cuánto tiempo conservarlas
Una copia de seguridad diaria vuelca tanto PostgreSQL (estado relacional) como ClickHouse (eventos y evaluaciones) en un único archivo comprimido y lo sube a tu bucket. Las copias de seguridad también se ejecutan antes de cada actualización.

Paso 5: Designar un Punto de Contacto

Proporciona una persona o canal de Slack/Teams de tu lado para problemas a nivel de clúster: salud de nodos, límites de cuenta en la nube, cambios de red. Las operaciones del día a día no requieren involucrar a este contacto.

Qué Desplegamos

Una vez que Exosphere tiene acceso al clúster, los siguientes componentes se despliegan y gestionan en tu nombre:
ComponenteFunción
AgentEye ServerAPI HTTP que recibe eventos de los colectores, ejecuta analíticas y sirve datos al panel
DashboardInterfaz web para visualizar sesiones de agentes, llamadas a herramientas, solicitudes al modelo y errores; aloja el asistente de IA opcional de solo lectura
ClickHouseAlmacén canónico requerido para eventos ingestados, analíticas y evaluaciones
PostgreSQLAlmacén relacional para organizaciones, claves de API, usuarios, paneles y consultas guardadas
RedisCaché compartida opcional y backend de límite de tasa; la plataforma degrada de forma elegante si no está disponible
Asistente de IA (opcional)Contenedor de asistente interno de solo lectura; permanece deshabilitado hasta que se configure un endpoint LLM
Controladores de ingressDos balanceadores de carga (uno para ingesta protegida con mTLS, otro para el panel) que terminan TLS con certificados de confianza pública y renovación automática, e imponen mTLS en el endpoint de ingesta
cert-managerAutomatiza el aprovisionamiento de certificados TLS y la emisión de certificados de cliente mTLS
Monitoreo de certificadosUn job programado verifica el vencimiento de certificados y envía alertas (p. ej. a Slack) cuando los certificados se aproximan a la renovación
La oferta administrada también opera el pipeline de evaluación de la plataforma, que puntúa la actividad de los agentes según tus criterios de evaluación. Consulta enterprise-docs/assistant.md y enterprise-docs/evaluation-suite.md para conocer lo que estas capacidades ofrecen.

Qué te Proporcionamos

Una vez completado el despliegue, recibes:
ElementoDetalles
URL del panelUn hostname bajo tu dominio (p. ej. https://agenteye.tu-empresa.ejemplo), servido con un certificado TLS de confianza pública y renovación automática. Creas un CNAME al hostname del balanceador de carga que proporcionamos; el inicio de sesión es OTP por correo electrónico sin contraseña
Endpoint del colectorLa ruta /events del hostname de ingesta (p. ej. https://ingest.tu-empresa.ejemplo/events), protegida con mTLS
Bundle de certificado de clientePor clúster: certificado de cliente, clave privada y certificado CA entregados como un manifiesto de Kubernetes Secret. Se aplica una vez por clúster
PAT de GitHubPara descargar binarios del colector y paquetes del SDK de Python
Claves de API del colectorClaves con alcance y permiso events:add, una por despliegue de colector
Guías de instalaciónDocumentación paso a paso para el colector y el SDK de Python

Qué Haces Después de la Configuración

Tu único trabajo continuo es en tus propias máquinas de agentes, no en el clúster de AgentEye:
  1. Instala el colector en cada clúster de Kubernetes que ejecute agentes de IA: monta el certificado de cliente y configura la URL del endpoint y la clave de API. Consulta enterprise-docs/collector-installation.md.
  2. Integra el SDK de Python en el código de tu agente. Consulta enterprise-docs/python-sdk.md.
  3. Abre el panel en tu navegador para ver la actividad de los agentes.
Sin operaciones de clúster, sin gestión de bases de datos, sin renovaciones de certificados, sin actualizaciones.

Seguridad

  • Los datos permanecen en tu cuenta en la nube. El clúster, el almacenamiento y las bases de datos se ejecutan en tu entorno. Ningún dato sale de tu perímetro.
  • Tú controlas el acceso. El clúster está en tu cuenta. Puedes auditar, monitorear o revocar el acceso de Exosphere en cualquier momento. Todas las operaciones quedan registradas en el log de auditoría de tu nube (CloudTrail, GCP Audit Logs, etc.).
  • mTLS en la ingesta de eventos. Cada solicitud del colector requiere tanto un certificado de cliente válido como una clave de API. Una clave filtrada es inútil sin el certificado; un certificado robado es inútil sin una clave válida.
  • Control de acceso al panel. El panel se ejecuta en su propio balanceador de carga, separado de la ingesta de eventos, y el inicio de sesión es OTP por correo electrónico sin contraseña, restringido a las direcciones de correo electrónico o dominios que incluyas en tu lista de permitidos. Una lista de rangos de IP de origen permitidos en el balanceador de carga está disponible bajo solicitud; dado que la renovación automática de certificados debe llegar al balanceador de carga, Exosphere combina la restricción con validación de certificados basada en DNS para que las renovaciones sigan funcionando.
  • Certificados por clúster. Cada uno de tus clústeres recibe su propio certificado de cliente. Si un clúster se ve comprometido, ese certificado se revoca de forma independiente sin afectar a los demás.

Cronograma de Despliegue

FaseDuraciónTu participación
Aprovisionamiento del clúster1-2 díasAprovisionar el clúster y otorgar acceso a Exosphere
Configuración de la plataforma1 díaNinguna; Exosphere instala todos los componentes de infraestructura
Despliegue de la aplicación1 díaNinguna; Exosphere despliega el servidor, el panel y crea las claves de API
Instalación del colector1-3 díasInstalar los colectores en tus clústeres (con orientación de Exosphere)
Rodaje en producción1 semanaNinguna; Exosphere monitorea y ajusta
Total típico: ~2 semanas desde el inicio hasta producción lista.

Soporte

Para preguntas o problemas, contacta a Exosphere en support@exosphere.host.

Próximos Pasos