前提条件
- 用于拉取容器镜像和下载制品的 GitHub PAT(详见 enterprise-docs/github-token.md)
- 一个专用 Kubernetes 集群(详见下方要求)
- 用于数据库备份的存储桶
- 网络连通性:集群负载均衡器的 443 端口需对外开放
第一步:准备专用 Kubernetes 集群
创建一个专用于 AgentEye 的 Kubernetes 集群。该集群不应与其他工作负载共享,以确保完整平台(应用服务、数据库、分析和缓存)在隔离环境中运行,不影响您现有的基础设施。| 要求 | 详情 |
|---|---|
| 发行版 | 任何符合标准的 Kubernetes:EKS、GKE、AKS 或自管理 |
| 版本 | 1.27 或更高 |
| 节点池 | 最低配置:3 个节点,每节点 4 vCPU / 8 GB RAM(标准通用实例) |
| 存储 | 默认 StorageClass,可供应块存储卷(例如 AWS 的 gp3、GCP 的 pd-ssd) |
| 负载均衡器 | 集群必须能够创建云 LoadBalancer 服务(EKS、GKE、AKS 默认支持) |
Exosphere 负责在集群内安装和管理其他所有内容:Ingress 控制器、TLS 证书、数据库、缓存、监控以及所有应用部署。
第二步:向 AgentEye 团队授予访问权限
Exosphere 需要集群管理员权限(或同等的广泛 RBAC 权限),以管理命名空间、自定义资源定义、Ingress 控制器和存储供应器。| 要求 | 详情 |
|---|---|
| 访问方式 | IAM 角色(EKS/GKE 首选)、kubeconfig 或基于 SSO 的访问 |
| VPN / 跳板机 | 如果 Kubernetes API Server 为私有模式,请为 Exosphere 运维团队提供 VPN 凭据或跳板机访问权限 |
第三步:配置网络连通性
您的网络团队需要允许集群负载均衡器的 443 端口接收入站流量。部署将使用两个独立的负载均衡器:一个用于事件采集(mTLS 保护),另一个用于仪表盘:| 流量类型 | 来源 | 目标 | 安全机制 |
|---|---|---|---|
| 事件采集 | 您集群中的 Collector Pod | 采集 LoadBalancer,443 端口 | mTLS(客户端证书)+ API 密钥 |
| 仪表盘 | 开发者浏览器 | 仪表盘 LoadBalancer,443 端口 | 您域名上的 HTTPS,无密码邮件 OTP 登录 |
agenteye.your-company.example)——分别指向 Exosphere 提供的负载均衡器主机名。之后,Exosphere 会自动为两个主机名签发公信 TLS 证书,并自动续期。
80 端口说明: 自动证书签发和续期需要通过每个负载均衡器的 80 端口进行 HTTP 验证。如果您的安全策略需要将仪表盘负载均衡器限制在企业 IP 范围内,请提前告知 Exosphere——我们会切换为基于 DNS 的证书验证方式(您需在 DNS 侧额外添加一条记录),以确保受限情况下证书续期仍能正常运行。
出站流量: 集群节点需要访问互联网,以从ghcr.io拉取容器镜像。如果您的网络限制出站流量,请将ghcr.io加入白名单,或将镜像同步至您的内部镜像仓库。
第四步:提供备份存储桶
数据库备份存储在您拥有的云存储桶中。| 要求 | 详情 |
|---|---|
| 服务 | S3(AWS)、GCS(GCP)或 Azure Blob Storage |
| 访问权限 | 通过 IAM 角色授予集群节点写入权限(EKS 使用 IRSA,GKE 使用 Workload Identity),或提供凭据 |
| 保留策略 | 您自行控制存储桶的生命周期策略(保留期限、归档规则)。Exosphere 负责写入备份,保留时长由您决定 |
第五步:指定联系人
请提供您方一名负责人或 Slack/Teams 频道,用于处理集群级别的问题:节点健康状况、云账户限制、网络变更等。日常运维无需通过此联系人。我们部署的组件
Exosphere 获得集群访问权限后,将为您部署并管理以下组件:| 组件 | 职责 |
|---|---|
| AgentEye Server | HTTP API,接收来自 Collector 的事件、运行分析并向仪表盘提供数据 |
| Dashboard | Web 界面,用于查看智能体会话、工具调用、模型请求和错误;托管可选的只读 AI 助手 |
| ClickHouse | 必需的规范化存储,用于存储采集的事件、分析数据和评估结果 |
| PostgreSQL | 关系型存储,用于组织、API 密钥、用户、仪表盘和已保存查询 |
| Redis | 可选的共享缓存和限流后端;即使不可用,平台也能优雅降级 |
| AI 助手(可选) | 内部只读助手容器;在配置 LLM 端点之前保持禁用状态 |
| Ingress 控制器 | 两个负载均衡器(一个用于 mTLS 保护的采集,一个用于仪表盘),使用公信自动续期证书终止 TLS,并在采集端点强制执行 mTLS |
| cert-manager | 自动化 TLS 证书签发和 mTLS 客户端证书颁发 |
| 证书监控 | 定时任务,检查证书到期时间,在证书临近续期时发送告警(例如发送至 Slack) |
我们向您提供的内容
部署完成后,您将收到:| 项目 | 详情 |
|---|---|
| 仪表盘 URL | 您域名下的一个主机名(例如 https://agenteye.your-company.example),使用公信自动续期 TLS 证书。您只需创建一条指向我们提供的负载均衡器主机名的 CNAME;登录方式为无密码邮件 OTP |
| Collector 端点 | 采集主机名的 /events 路径(例如 https://ingest.your-company.example/events),受 mTLS 保护 |
| 客户端证书包 | 按集群分发:客户端证书、私钥和 CA 证书,以 Kubernetes Secret 清单形式交付。每个集群应用一次即可 |
| GitHub PAT | 用于下载 Collector 二进制文件和 Python SDK 包 |
| Collector API 密钥 | 具有 events:add 权限的范围密钥,每个 Collector 部署一个 |
| 安装指南 | Collector 和 Python SDK 的分步文档 |
设置完成后您需要做的事情
您唯一的后续工作是在您自己的智能体机器上进行,而非 AgentEye 集群:- 在每个运行 AI 智能体的 Kubernetes 集群中安装 Collector:挂载客户端证书,配置端点 URL 和 API 密钥。详见 enterprise-docs/collector-installation.md。
- 将 Python SDK 集成到您的智能体代码中。详见 enterprise-docs/python-sdk.md。
- 在浏览器中打开仪表盘,查看智能体活动。
安全性
- 数据始终保留在您的云账户中。 集群、存储和数据库全部在您的环境中运行,数据不会离开您的边界。
- 您掌控访问权限。 集群在您的账户中,您可以随时审计、监控或撤销 Exosphere 的访问权限。所有操作均通过您云平台的审计日志记录(CloudTrail、GCP Audit Logs 等)。
- 事件采集采用 mTLS。 每次 Collector 请求都需要同时提供有效的客户端证书和 API 密钥。仅凭泄露的密钥无法访问(没有证书无效);仅凭窃取的证书也无法访问(没有有效密钥无效)。
- 仪表盘访问控制。 仪表盘运行在独立的负载均衡器上,与事件采集分离,登录方式为无密码邮件 OTP,仅限您白名单中的电子邮件地址/域名。如需在负载均衡器上配置 IP 来源范围白名单,可按需申请;由于自动证书续期需要访问负载均衡器,Exosphere 会将此限制与基于 DNS 的证书验证配对使用,以确保续期正常运行。
- 按集群颁发证书。 您的每个集群都有独立的客户端证书。若某个集群遭到入侵,该证书可独立撤销,不影响其他集群。
部署时间表
| 阶段 | 时长 | 您的参与 |
|---|---|---|
| 集群准备 | 1-2 天 | 准备集群并授予 Exosphere 访问权限 |
| 平台搭建 | 1 天 | 无需参与;Exosphere 负责安装所有基础设施组件 |
| 应用部署 | 1 天 | 无需参与;Exosphere 部署服务端、仪表盘并创建 API 密钥 |
| Collector 上线 | 1-3 天 | 在您的集群中安装 Collector(Exosphere 提供指导) |
| 生产磨合期 | 1 周 | 无需参与;Exosphere 负责监控和调优 |
支持
如有疑问或问题,请通过support@exosphere.host 联系 Exosphere。
后续步骤
- 入门指南:端到端完整流程
- Collector 安装:安装和配置 Collector
- Python SDK:为您的智能体代码添加埋点
- API 密钥:管理访问权限和权限配置
- 故障排查:常见问题及解决方案

