Предварительные требования
- GitHub PAT для получения образов контейнеров и загрузки артефактов (см. enterprise-docs/github-token.md)
- Выделенный кластер Kubernetes (см. требования ниже)
- Бакет хранилища для резервных копий базы данных
- Сетевое соединение: входящий трафик на порту 443 к load balancer кластера
Шаг 1: Подготовьте выделенный кластер Kubernetes
Создайте кластер Kubernetes, выделенный для AgentEye. Он не должен использоваться совместно с другими рабочими нагрузками, чтобы полная платформа (сервисы приложений, базы данных, аналитика и кеширование) работала изолированно без влияния на вашу существующую инфраструктуру.| Требование | Детали |
|---|---|
| Распределение | Любой соответствующий стандарту Kubernetes: EKS, GKE, AKS или самостоятельно управляемый |
| Версия | 1.27 или позже |
| Пул узлов | Минимум: 3 узла, по 4 vCPU / 8 ГБ ОЗУ (стандартные универсальные инстансы) |
| Хранилище | StorageClass по умолчанию, который подготавливает блочные тома (например gp3 на AWS, pd-ssd на GCP) |
| Load Balancer | Кластер должен иметь возможность подготавливать облачные сервисы LoadBalancer (по умолчанию на EKS, GKE, AKS) |
Exosphere устанавливает и управляет всем остальным внутри кластера: контроллеры ingress, TLS сертификаты, базы данных, кеширование, мониторинг и все развертывания приложений.
Шаг 2: Предоставьте доступ команде AgentEye
Exosphere нужен доступ cluster-admin (или эквивалентный широкий RBAC) для управления пространствами имен, пользовательскими определениями ресурсов, контроллерами ingress и провизионерами хранилища.| Требование | Детали |
|---|---|
| Метод доступа | IAM роль (предпочтительно для EKS/GKE), kubeconfig или доступ на основе SSO |
| VPN / bastion | Если API сервер Kubernetes приватный, предоставьте учетные данные VPN или доступ к bastion для команды операций Exosphere |
Шаг 3: Настройте сетевое соединение
Ваша сетевая команда должна разрешить входящий трафик на порту 443 к load balancer’ам кластера. Развертывание работает с двумя отдельными load balancer’ами: один для приема событий (защищен mTLS) и один для панели управления:| Трафик | Источник | Адресат | Безопасность |
|---|---|---|---|
| Прием событий | Collector pods в ваших кластерах | Ingest LoadBalancer, порт 443 | mTLS (сертификат клиента) + API ключ |
| Панель управления | Браузеры разработчиков | Dashboard LoadBalancer, порт 443 | HTTPS на вашем домене, вход без пароля по OTP по email |
agenteye.your-company.example) — указывающие на имена хостов load balancer’ов, которые предоставит Exosphere. Exosphere затем автоматически подготавливает публично доверенные TLS сертификаты для обоих имен хостов, включая обновления.
Замечание о порту 80: автоматическое выдание и обновление сертификатов проверяется по HTTP на порту 80 каждого load balancer’а. Если ваша политика безопасности требует ограничения dashboard load balancer’а корпоративными диапазонами IP, сообщите об этом Exosphere — мы переключимся на метод валидации на основе DNS (одна дополнительная DNS запись с вашей стороны), чтобы обновления продолжали работать за ограничением.
Исходящий трафик: узлы кластера нуждаются в доступе в интернет для получения образов контейнеров изghcr.io. Если ваша сеть ограничивает исходящий трафик, добавьтеghcr.ioв белый список или зеркалируйте образы в ваш внутренний реестр.
Шаг 4: Предоставьте бакет хранилища для резервных копий
Резервные копии базы данных сохраняются в облачном бакете хранилища, который вы владеете.| Требование | Детали |
|---|---|
| Сервис | S3 (AWS), GCS (GCP) или Azure Blob Storage |
| Доступ | Предоставьте доступ на запись узлам кластера через IAM роль для сервисных аккаунтов (IRSA на EKS, Workload Identity на GKE) или предоставьте учетные данные |
| Хранение | Вы контролируете политику жизненного цикла бакета (период хранения, правила архивирования). Exosphere пишет резервные копии; вы решаете, как долго их хранить |
Шаг 5: Обозначьте контактное лицо
Предоставьте одного человека или канал Slack/Teams на вашей стороне для проблем уровня кластера: здоровье узлов, лимиты облачного аккаунта, изменения сети. Ежедневные операции не включают это контактное лицо.Что мы развертываем
Как только Exosphere получит доступ к кластеру, развертываются и управляются следующие компоненты:| Компонент | Роль |
|---|---|
| AgentEye Server | HTTP API, который получает события от collectors’ов, запускает аналитику и обслуживает данные для панели управления |
| Dashboard | Веб-интерфейс для просмотра сессий агентов, вызовов инструментов, запросов к моделям и ошибок; размещает необязательного ассистента только для чтения на основе AI |
| ClickHouse | Требуемое хранилище для полученных событий, аналитики и оценок |
| PostgreSQL | Реляционное хранилище для организаций, API ключей, пользователей, панелей управления и сохраненных запросов |
| Redis | Необязательный общий кеш и backend’ов для ограничения скорости; платформа корректно деградирует, если он недоступен |
| AI ассистент (необязательно) | Внутренний контейнер ассистента только для чтения; остается отключенным до момента настройки endpoint’а LLM |
| Контроллеры Ingress | Два load balancer’а (один для защищенного mTLS приема, один для панели управления), завершающие TLS с публично доверенными, автоматически обновляемыми сертификатами и применяющие mTLS на endpoint’е приема |
| cert-manager | Автоматизирует подготовку TLS сертификатов и выдачу сертификатов mTLS клиентов |
| Мониторинг сертификатов | Запланированное задание проверяет истечение срока сертификатов и отправляет оповещения (например в Slack) когда сертификаты приближаются к обновлению |
Что мы предоставляем вам
После завершения развертывания вы получаете:| Элемент | Детали |
|---|---|
| URL панели управления | Имя хоста под вашим доменом (например https://agenteye.your-company.example), обслуживаемое с публично доверенным, автоматически обновляемым TLS сертификатом. Вы создаете одну CNAME запись на имя хоста load balancer’а, который мы предоставим; вход без пароля по OTP |
| Endpoint сборщика | Путь /events имени хоста приема (например https://ingest.your-company.example/events), защищенный mTLS |
| Пакет сертификата клиента | За кластер: сертификат клиента, приватный ключ и сертификат CA поставляются как манифест Kubernetes Secret. Примените один раз за кластер |
| GitHub PAT | Для загрузки бинарных файлов collector’а и пакетов Python SDK |
| Collector API ключи | Ключи, ограниченные областью events:add, один за развертывание collector’а |
| Руководства установки | Пошаговые документы для collector’а и Python SDK |
Что вы делаете после настройки
Ваша единственная постоянная работа — на ваших собственных машинах с агентами, а не в кластере AgentEye:- Установите collector в каждом кластере Kubernetes, на котором работают AI агенты: установите сертификат клиента и настройте URL endpoint’а и API ключ. См. enterprise-docs/collector-installation.md.
- Интегрируйте Python SDK в код вашего агента. См. enterprise-docs/python-sdk.md.
- Откройте панель управления в браузере для просмотра активности агентов.
Безопасность
- Данные остаются в вашем облачном аккаунте. Кластер, хранилище и базы данных работают в вашей среде. Никакие данные не выходят за пределы вашей границы.
- Вы контролируете доступ. Кластер находится в вашем аккаунте. Вы можете аудировать, мониторить или отозвать доступ Exosphere в любой момент. Все операции проходят через журнал аудита вашего облака (CloudTrail, GCP Audit Logs и т. д.).
- mTLS при приеме событий. Каждый запрос collector’а требует как действительного сертификата клиента, так и API ключа. Утекший ключ бесполезен без сертификата; украденный сертификат бесполезен без действительного ключа.
- Контроль доступа к панели управления. Панель управления работает на собственном load balancer’е, отдельно от приема событий, и вход без пароля по OTP ограничен адресами email/доменами, которые вы добавляете в белый список. Белый список диапазонов IP источников на load balancer’е доступен по запросу; поскольку автоматическое обновление сертификатов должно достичь load balancer’а, Exosphere сочетает ограничение с валидацией сертификатов на основе DNS, чтобы обновления продолжали работать.
- Сертификаты по кластерам. Каждый из ваших кластеров получает собственный сертификат клиента. Если один кластер скомпрометирован, этот сертификат отозывается независимо без влияния на остальные.
Временная шкала развертывания
| Фаза | Продолжительность | Ваше участие |
|---|---|---|
| Подготовка кластера | 1-2 дня | Подготовьте кластер и предоставьте Exosphere доступ |
| Настройка платформы | 1 день | Никакое; Exosphere устанавливает все компоненты инфраструктуры |
| Развертывание приложения | 1 день | Никакое; Exosphere развертывает сервер, панель управления и создает API ключи |
| Развертывание collector’а | 1-3 дня | Установите collector’ов в ваши кластеры (с рекомендациями от Exosphere) |
| Доработка в production | 1 неделя | Никакое; Exosphere мониторит и тонко настраивает |
Поддержка
По вопросам или проблемам свяжитесь с Exosphere по адресуsupport@exosphere.host.
Следующие шаги
- Getting Started: полное пошаговое руководство
- Collector Installation: установка и настройка collector’а
- Python SDK: инструментирование кода вашего агента
- API Keys: управление доступом и разрешениями
- Troubleshooting: типичные проблемы и решения

