Chuyển đến nội dung chính
AgentEye là một nền tảng quan sát và đánh giá tự lưu trữ cho các agent AI và LLM. Nó nắm bắt các phiên agent, lệnh gọi công cụ, yêu cầu mô hình và lỗi, chuyển chúng thành phân tích và đánh giá có thể tìm kiếm được, và hiển thị kết quả trên bảng điều khiển với một trợ lý AI chỉ đọc tùy chọn. Trong mô hình triển khai được quản lý, bạn cung cấp một Kubernetes cluster chuyên dụng và Exosphere chạy toàn bộ nền tảng bên trong, triển khai, cấu hình, vận hành, sao lưu và nâng cấp từng thành phần thay mặt bạn. Nhóm của bạn nhận được giá trị của nền tảng (khả năng hiển thị agent, phân tích, đánh giá và trợ lý tùy chọn) mà không cần vận hành các cơ sở dữ liệu, chứng chỉ hoặc nâng cấp. Tất cả dữ liệu nằm trong tài khoản cloud của bạn.

Điều kiện tiên quyết

  • Một GitHub PAT để kéo hình ảnh container và tải xuống các tạo phẩm (xem enterprise-docs/github-token.md)
  • Một Kubernetes cluster chuyên dụng (xem yêu cầu bên dưới)
  • Một bucket lưu trữ cho sao lưu cơ sở dữ liệu
  • Kết nối mạng: port 443 vào load balancer của cluster

Bước 1: Cấp phát một Kubernetes Cluster Chuyên dụng

Tạo một Kubernetes cluster chuyên dụng cho AgentEye. Nó không nên được chia sẻ với các workload khác, vì vậy toàn bộ nền tảng (các dịch vụ ứng dụng, cơ sở dữ liệu, phân tích và bộ nhớ đệm) chạy cách ly mà không ảnh hưởng đến hạ tầng hiện có của bạn.
Yêu cầuChi tiết
DistributionBất kỳ Kubernetes phù hợp: EKS, GKE, AKS hoặc tự quản lý
Phiên bản1.27 hoặc mới hơn
Node poolTối thiểu: 3 nút, 4 vCPU / 8 GB RAM mỗi nút (các instance có mục đích chung tiêu chuẩn)
Lưu trữMột StorageClass mặc định cung cấp khối lượng (ví dụ gp3 trên AWS, pd-ssd trên GCP)
Load BalancerCluster phải có khả năng cung cấp các dịch vụ LoadBalancer cloud (mặc định trên EKS, GKE, AKS)
Exosphere cài đặt và quản lý mọi thứ khác bên trong cluster: bộ điều khiển ingress, chứng chỉ TLS, cơ sở dữ liệu, bộ nhớ đệm, giám sát và tất cả các triển khai ứng dụng.

Bước 2: Cấp quyền truy cập cho Nhóm AgentEye

Exosphere cần quyền cluster-admin (hoặc RBAC rộng tương đương) để quản lý không gian tên, định nghĩa tài nguyên tùy chỉnh, bộ điều khiển ingress và những người cấp phát lưu trữ.
Yêu cầuChi tiết
Phương thức truy cậpVai trò IAM (ưa thích cho EKS/GKE), kubeconfig hoặc truy cập dựa trên SSO
VPN / bastionNếu máy chủ API Kubernetes là riêng tư, cung cấp thông tin đăng nhập VPN hoặc truy cập bastion cho nhóm vận hành Exosphere

Bước 3: Cấu hình Kết nối Mạng

Nhóm mạng của bạn cần cho phép lưu lượng vào trên port 443 đến các load balancer của cluster. Triển khai chạy hai load balancer riêng biệt: một cho việc nhập sự kiện (được bảo vệ bằng mTLS) và một cho bảng điều khiển:
Lưu lượngNguồnĐíchBảo mật
Nhập sự kiệnPod collector trong các cluster của bạnIngest LoadBalancer, port 443mTLS (chứng chỉ khách hàng) + khóa API
Bảng điều khiểnTrình duyệt nhà phát triểnDashboard LoadBalancer, port 443HTTPS trên miền của bạn, đăng nhập OTP email không mật khẩu
Điểm cuối ingestion được bảo vệ bằng TLS lẫn nhau; collector phải trình bày một chứng chỉ khách hàng hợp lệ một khóa API hợp lệ trên mỗi yêu cầu. Bảng điều khiển chạy trên load balancer và tên máy chủ riêng của nó, với đăng nhập hạn chế trong các địa chỉ/miền email của bạn được cho phép. Bản ghi DNS (một lần): bạn tạo hai bản ghi CNAME dưới một miền bạn kiểm soát — một cho điểm cuối ingestion và một cho bảng điều khiển (ví dụ agenteye.your-company.example) — trỏ đến các tên máy chủ load balancer mà Exosphere cung cấp. Exosphere sau đó tự động cấp phát chứng chỉ TLS được tin tưởng công cộng cho cả hai tên máy chủ, bao gồm cả việc gia hạn.
Ghi chú Port 80: xác thực cấp phát chứng chỉ tự động và gia hạn xác thực qua HTTP trên port 80 của mỗi load balancer. Nếu tư thế bảo mật của bạn yêu cầu hạn chế load balancer bảng điều khiển trong các phạm vi IP công ty, hãy cho Exosphere biết trước — chúng tôi chuyển xác thực chứng chỉ sang phương pháp dựa trên DNS (một bản ghi DNS bổ sung trên phía bạn) vì vậy việc gia hạn tiếp tục hoạt động đằng sau hạn chế.
Đi ra ngoài: Các nút Cluster cần quyền truy cập internet để kéo hình ảnh container từ ghcr.io. Nếu mạng của bạn hạn chế lưu lượng đi ra, hãy danh sách trắng ghcr.io hoặc sao chép hình ảnh vào sổ đăng ký nội bộ của bạn.

Bước 4: Cung cấp một Bucket Lưu trữ Sao lưu

Sao lưu cơ sở dữ liệu được lưu trữ trong một bucket lưu trữ đám mây mà bạn sở hữu.
Yêu cầuChi tiết
Dịch vụS3 (AWS), GCS (GCP) hoặc Azure Blob Storage
Truy cậpCấp quyền ghi cho các nút của cluster thông qua vai trò IAM cho các tài khoản dịch vụ (IRSA trên EKS, Workload Identity trên GKE) hoặc cung cấp thông tin xác thực
Giữ lạiBạn kiểm soát chính sách vòng đời của bucket (thời gian giữ lại, quy tắc lưu trữ). Exosphere ghi sao lưu; bạn quyết định thời gian giữ lại chúng
Một sao lưu hàng ngày duy nhất xả cả PostgreSQL (trạng thái quan hệ) và ClickHouse (sự kiện và đánh giá) vào một kho lưu trữ nén và tải nó lên bucket của bạn. Sao lưu cũng chạy trước mỗi lần nâng cấp.

Bước 5: Chỉ định một Điểm Liên hệ

Cung cấp một người hoặc kênh Slack/Teams trên phía bạn cho các vấn đề cấp cluster: sức khỏe nút, giới hạn tài khoản đám mây, thay đổi mạng. Hoạt động hàng ngày không liên quan đến liên hệ này.

Những Gì Chúng Tôi Triển Khai

Khi Exosphere có quyền truy cập cluster, các thành phần sau được triển khai và quản lý cho bạn:
Thành phầnVai trò
AgentEye ServerHTTP API nhận các sự kiện từ collector, chạy phân tích và phục vụ dữ liệu cho bảng điều khiển
Bảng điều khiểnGiao diện web để xem các phiên agent, lệnh gọi công cụ, yêu cầu mô hình và lỗi; lưu trữ trợ lý AI chỉ đọc tùy chọn
ClickHouseKho lưu trữ chính cần thiết cho sự kiện được nhập, phân tích và đánh giá
PostgreSQLKho lưu trữ quan hệ cho các tổ chức, khóa API, người dùng, bảng điều khiển và truy vấn đã lưu
RedisBộ nhớ đệm được chia sẻ tùy chọn và phía sau giới hạn tốc độ; nền tảng giảm độ lành mạnh nếu nó không khả dụng
Trợ lý AI (tùy chọn)Container trợ lý chỉ đọc nội bộ; ở trạng thái vô hiệu cho đến khi một điểm cuối LLM được cấu hình
Bộ điều khiển IngressHai load balancer (một cho ingestion được bảo vệ bằng mTLS, một cho bảng điều khiển) chấm dứt TLS với chứng chỉ được tin tưởng công cộng, tự động gia hạn và thực thi mTLS trên điểm cuối ingestion
cert-managerTự động hóa cấp phát chứng chỉ TLS và phát hành chứng chỉ khách hàng mTLS
Giám sát chứng chỉMột công việc được lên lịch kiểm tra hạn sử dụng chứng chỉ và gửi cảnh báo (ví dụ đến Slack) khi chứng chỉ tiếp cận gia hạn
Sản phẩm được quản lý cũng vận hành đường ống đánh giá của nền tảng, nó tính điểm hoạt động của agent dựa trên tiêu chí đánh giá của bạn. Xem enterprise-docs/assistant.mdenterprise-docs/evaluation-suite.md để biết những khả năng này mang lại gì.

Những Gì Chúng Tôi Cung cấp cho Bạn

Sau khi triển khai hoàn tất, bạn nhận được:
MụcChi tiết
URL Bảng điều khiểnMột tên máy chủ dưới miền của bạn (ví dụ https://agenteye.your-company.example), được phục vụ với chứng chỉ TLS được tin tưởng công cộng, tự động gia hạn. Bạn tạo một CNAME đến tên máy chủ load balancer mà chúng tôi cung cấp; đăng nhập là email OTP không mật khẩu
Điểm cuối CollectorĐường dẫn /events của tên máy chủ ingestion (ví dụ https://ingest.your-company.example/events), được bảo vệ bằng mTLS
Bó chứng chỉ khách hàngCho mỗi cluster: chứng chỉ khách hàng, khóa riêng và chứng chỉ CA được cung cấp dưới dạng kê khai Kubernetes Secret. Áp dụng nó một lần cho mỗi cluster
GitHub PATĐể tải xuống các tệp nhị phân collector và gói Python SDK
Khóa API CollectorCác khóa được phân loại với quyền events:add, một cho mỗi triển khai collector
Hướng dẫn cài đặtTài liệu từng bước cho collector và Python SDK

Những Gì Bạn Làm Sau Khi Thiết lập

Công việc duy nhất của bạn là trên các máy agent của riêng bạn, không phải cluster AgentEye:
  1. Cài đặt collector trong mỗi Kubernetes cluster chạy các agent AI: gắn chứng chỉ khách hàng và cấu hình URL điểm cuối và khóa API. Xem enterprise-docs/collector-installation.md.
  2. Tích hợp Python SDK vào mã agent của bạn. Xem enterprise-docs/python-sdk.md.
  3. Mở bảng điều khiển trong trình duyệt của bạn để xem hoạt động của agent.
Không vận hành cluster, không quản lý cơ sở dữ liệu, không gia hạn chứng chỉ, không nâng cấp.

Bảo mật

  • Dữ liệu nằm trong tài khoản cloud của bạn. Cluster, lưu trữ và cơ sở dữ liệu đều chạy trong môi trường của bạn. Không có dữ liệu nào rời khỏi ranh giới của bạn.
  • Bạn kiểm soát quyền truy cập. Cluster ở trong tài khoản của bạn. Bạn có thể kiểm toán, giám sát hoặc thu hồi quyền truy cập của Exosphere bất cứ lúc nào. Tất cả các hoạt động đều thông qua nhật ký kiểm toán của cloud của bạn (CloudTrail, GCP Audit Logs, v.v.).
  • mTLS trên ingestion sự kiện. Mỗi yêu cầu collector yêu cầu cả chứng chỉ khách hàng hợp lệ và khóa API. Một khóa bị rò rỉ là vô dụng mà không có chứng chỉ; một chứng chỉ bị đánh cắp là vô dụng mà không có một khóa hợp lệ.
  • Kiểm soát truy cập bảng điều khiển. Bảng điều khiển chạy trên load balancer riêng, tách biệt khỏi ingestion sự kiện, và đăng nhập là email OTP không mật khẩu hạn chế đối với các địa chỉ/miền email bạn cho phép. Danh sách cho phép phạm vi nguồn IP trên load balancer có sẵn theo yêu cầu; vì gia hạn chứng chỉ tự động phải tiếp cận load balancer, Exosphere kết hợp hạn chế với xác thực chứng chỉ dựa trên DNS để việc gia hạn tiếp tục hoạt động.
  • Chứng chỉ theo cluster. Mỗi cluster của bạn nhận chứng chỉ khách hàng của riêng nó. Nếu một cluster bị xâm phạm, chứng chỉ đó bị thu hồi độc lập mà không ảnh hưởng đến các chứng chỉ khác.

Lịch trình Triển khai

Giai đoạnThời lượngSự tham gia của bạn
Cấp phát Cluster1-2 ngàyCấp phát cluster và cấp quyền truy cập cho Exosphere
Thiết lập nền tảng1 ngàyKhông có; Exosphere cài đặt tất cả các thành phần cơ sở hạ tầng
Triển khai ứng dụng1 ngàyKhông có; Exosphere triển khai máy chủ, bảng điều khiển và tạo khóa API
Triển khai Collector1-3 ngàyCài đặt collector trong các cluster của bạn (có hướng dẫn từ Exosphere)
Burn-in sản xuất1 tuầnKhông có; Exosphere giám sát và điều chỉnh
Tổng cộng điển hình: ~2 tuần từ khởi động đến sẵn sàng sản xuất.

Hỗ trợ

Để có câu hỏi hoặc vấn đề, liên hệ Exosphere tại support@exosphere.host.

Các bước tiếp theo