Pular para o conteúdo principal
O AgentEye é uma plataforma de observabilidade e avaliação auto-hospedada para agentes de IA e LLM. Ele captura sessões de agentes, chamadas de ferramentas, requisições de modelos e erros, transformando-os em análises e avaliações pesquisáveis, e exibe os resultados em um painel com um assistente de IA opcional somente leitura. No modelo de implantação gerenciada, você fornece um cluster Kubernetes dedicado e a Exosphere executa a plataforma completa dentro dele, implantando, configurando, operando, fazendo backup e atualizando cada componente em seu nome. Sua equipe obtém o valor da plataforma (visibilidade de agentes, análises, avaliação e o assistente opcional) sem precisar operar bancos de dados, certificados ou atualizações. Todos os dados permanecem dentro da sua conta na nuvem.

Pré-requisitos

  • Um GitHub PAT para baixar imagens de contêiner e artefatos (veja enterprise-docs/github-token.md)
  • Um cluster Kubernetes dedicado (veja os requisitos abaixo)
  • Um bucket de armazenamento para backups de banco de dados
  • Conectividade de rede: porta 443 de entrada para o load balancer do cluster

Etapa 1: Provisionar um Cluster Kubernetes Dedicado

Crie um cluster Kubernetes dedicado ao AgentEye. Ele não deve ser compartilhado com outras cargas de trabalho, para que a plataforma completa (serviços de aplicação, bancos de dados, análises e cache) seja executada de forma isolada sem impactar sua infraestrutura existente.
RequisitoDetalhes
DistribuiçãoQualquer Kubernetes conformante: EKS, GKE, AKS ou autogerenciado
Versão1.27 ou posterior
Pool de nósMínimo: 3 nós, 4 vCPU / 8 GB de RAM cada (instâncias de uso geral padrão)
ArmazenamentoUm StorageClass padrão que provisiona volumes em bloco (ex.: gp3 na AWS, pd-ssd no GCP)
Load BalancerO cluster deve ser capaz de provisionar serviços de LoadBalancer na nuvem (padrão no EKS, GKE, AKS)
A Exosphere instala e gerencia tudo o mais dentro do cluster: controladores de ingress, certificados TLS, bancos de dados, cache, monitoramento e todas as implantações de aplicações.

Etapa 2: Conceder Acesso à Equipe do AgentEye

A Exosphere precisa de acesso de cluster-admin (ou RBAC amplo equivalente) para gerenciar namespaces, definições de recursos personalizados, controladores de ingress e provisionadores de armazenamento.
RequisitoDetalhes
Método de acessoIAM role (preferido para EKS/GKE), kubeconfig ou acesso baseado em SSO
VPN / bastionSe o servidor de API do Kubernetes for privado, forneça credenciais de VPN ou acesso via bastion para a equipe de operações da Exosphere

Etapa 3: Configurar Conectividade de Rede

Sua equipe de rede precisa permitir tráfego de entrada na porta 443 para os load balancers do cluster. A implantação utiliza dois load balancers separados: um para ingestão de eventos (protegido por mTLS) e outro para o painel:
TráfegoOrigemDestinoSegurança
Ingestão de eventosPods coletores nos seus clustersIngest LoadBalancer, porta 443mTLS (certificado de cliente) + chave de API
PainelNavegadores dos desenvolvedoresDashboard LoadBalancer, porta 443HTTPS no seu domínio, login OTP por e-mail sem senha
O endpoint de ingestão é protegido por TLS mútuo; os coletores devem apresentar um certificado de cliente válido e uma chave de API válida em cada requisição. O painel é executado em seu próprio load balancer e hostname, com login restrito aos endereços de e-mail/domínios na sua lista de permissões. Registros DNS (uma única vez): você cria dois registros CNAME em um domínio que você controla — um para o endpoint de ingestão e outro para o painel (ex.: agenteye.sua-empresa.exemplo) — apontando para os hostnames do load balancer fornecidos pela Exosphere. A Exosphere então provisiona automaticamente certificados TLS publicamente confiáveis para ambos os hostnames, incluindo renovações.
Observação sobre a porta 80: a emissão e renovação automáticas de certificados são validadas via HTTP na porta 80 de cada load balancer. Se sua política de segurança exigir restringir o load balancer do painel a intervalos de IP corporativos, informe a Exosphere com antecedência — nós alteramos a validação de certificados para um método baseado em DNS (um registro DNS extra do seu lado) para que as renovações continuem funcionando por trás da restrição.
Saída: os nós do cluster precisam de acesso à internet para baixar imagens de contêiner do ghcr.io. Se sua rede restringir o tráfego de saída, adicione ghcr.io à lista de permissões ou espelhe as imagens para seu registro interno.

Etapa 4: Fornecer um Bucket de Armazenamento para Backup

Os backups do banco de dados são armazenados em um bucket de armazenamento na nuvem que você possui.
RequisitoDetalhes
ServiçoS3 (AWS), GCS (GCP) ou Azure Blob Storage
AcessoConceda acesso de escrita aos nós do cluster via IAM role para contas de serviço (IRSA no EKS, Workload Identity no GKE) ou forneça credenciais
RetençãoVocê controla a política de ciclo de vida do bucket (período de retenção, regras de arquivamento). A Exosphere grava os backups; você decide por quanto tempo mantê-los
Um único backup diário exporta tanto o PostgreSQL (estado relacional) quanto o ClickHouse (eventos e avaliações) em um arquivo comprimido e faz upload para o seu bucket. Os backups também são executados antes de cada atualização.

Etapa 5: Designar um Ponto de Contato

Forneça uma pessoa ou canal do Slack/Teams do seu lado para questões no nível do cluster: integridade dos nós, limites da conta na nuvem, mudanças na rede. As operações do dia a dia não envolvem esse contato.

O Que Implantamos

Assim que a Exosphere tiver acesso ao cluster, os seguintes componentes são implantados e gerenciados para você:
ComponenteFunção
AgentEye ServerAPI HTTP que recebe eventos dos coletores, executa análises e serve dados para o painel
DashboardInterface web para visualizar sessões de agentes, chamadas de ferramentas, requisições de modelos e erros; hospeda o assistente de IA opcional somente leitura
ClickHouseArmazenamento canônico obrigatório para eventos ingeridos, análises e avaliações
PostgreSQLArmazenamento relacional para organizações, chaves de API, usuários, painéis e consultas salvas
RedisCache compartilhado opcional e backend de limitação de taxa; a plataforma degrada graciosamente se estiver indisponível
Assistente de IA (opcional)Contêiner assistente interno somente leitura; permanece desativado até que um endpoint de LLM seja configurado
Controladores de ingressDois load balancers (um para ingestão protegida por mTLS, outro para o painel) encerrando TLS com certificados publicamente confiáveis e renovados automaticamente, e aplicando mTLS no endpoint de ingestão
cert-managerAutomatiza o provisionamento de certificados TLS e a emissão de certificados de cliente mTLS
Monitoramento de certificadosUm job agendado verifica a expiração de certificados e envia alertas (ex.: para o Slack) à medida que os certificados se aproximam da renovação
A oferta gerenciada também opera o pipeline de avaliação da plataforma, que pontua a atividade dos agentes com base nos seus critérios de avaliação. Veja enterprise-docs/assistant.md e enterprise-docs/evaluation-suite.md para entender o que essas capacidades oferecem.

O Que Fornecemos a Você

Após a conclusão da implantação, você recebe:
ItemDetalhes
URL do painelUm hostname no seu domínio (ex.: https://agenteye.sua-empresa.exemplo), servido com um certificado TLS publicamente confiável e renovado automaticamente. Você cria um CNAME para o hostname do load balancer que fornecemos; o login é OTP por e-mail sem senha
Endpoint do coletorO caminho /events do hostname de ingestão (ex.: https://ingest.sua-empresa.exemplo/events), protegido por mTLS
Bundle de certificado de clientePor cluster: certificado de cliente, chave privada e certificado CA entregues como um manifesto de Secret do Kubernetes. Aplique uma vez por cluster
GitHub PATPara baixar binários do coletor e pacotes do SDK Python
Chaves de API do coletorChaves com escopo de permissão events:add, uma por implantação de coletor
Guias de instalaçãoDocumentação passo a passo para o coletor e o SDK Python

O Que Você Faz Após a Configuração

Seu único trabalho contínuo é nas suas próprias máquinas de agentes, não no cluster do AgentEye:
  1. Instale o coletor em cada cluster Kubernetes que executa agentes de IA: monte o certificado de cliente e configure a URL do endpoint e a chave de API. Veja enterprise-docs/collector-installation.md.
  2. Integre o SDK Python no código do seu agente. Veja enterprise-docs/python-sdk.md.
  3. Abra o painel no seu navegador para visualizar a atividade dos agentes.
Sem operações no cluster, sem gerenciamento de banco de dados, sem renovações de certificados, sem atualizações.

Segurança

  • Os dados permanecem na sua conta na nuvem. O cluster, o armazenamento e os bancos de dados são todos executados no seu ambiente. Nenhum dado sai do seu perímetro.
  • Você controla o acesso. O cluster está na sua conta. Você pode auditar, monitorar ou revogar o acesso da Exosphere a qualquer momento. Todas as operações passam pelo log de auditoria da sua nuvem (CloudTrail, GCP Audit Logs, etc.).
  • mTLS na ingestão de eventos. Cada requisição do coletor exige tanto um certificado de cliente válido quanto uma chave de API. Uma chave vazada é inútil sem o certificado; um certificado roubado é inútil sem uma chave válida.
  • Controle de acesso ao painel. O painel é executado em seu próprio load balancer, separado da ingestão de eventos, e o login é OTP por e-mail sem senha, restrito aos endereços de e-mail/domínios na sua lista de permissões. Uma lista de permissões de intervalo de IP de origem no load balancer está disponível mediante solicitação; como a renovação automática de certificados precisa alcançar o load balancer, a Exosphere combina a restrição com a validação de certificados baseada em DNS para que as renovações continuem funcionando.
  • Certificados por cluster. Cada um dos seus clusters recebe seu próprio certificado de cliente. Se um cluster for comprometido, esse certificado é revogado de forma independente, sem afetar os demais.

Cronograma de Implantação

FaseDuraçãoSeu envolvimento
Provisionamento do cluster1-2 diasProvisionar o cluster e conceder acesso à Exosphere
Configuração da plataforma1 diaNenhum; a Exosphere instala todos os componentes de infraestrutura
Implantação da aplicação1 diaNenhum; a Exosphere implanta o servidor, o painel e cria as chaves de API
Rollout do coletor1-3 diasInstalar os coletores nos seus clusters (com orientação da Exosphere)
Estabilização em produção1 semanaNenhum; a Exosphere monitora e ajusta
Total típico: ~2 semanas do início até estar pronto para produção.

Suporte

Para dúvidas ou problemas, entre em contato com a Exosphere em support@exosphere.host.

Próximos Passos