> ## Documentation Index
> Fetch the complete documentation index at: https://docs.befailproof.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 在您的 Kubernetes 集群上进行托管部署

> AgentEye 在您的 Kubernetes 集群上进行托管部署的文档。

AgentEye 是一个面向 AI 和 LLM 智能体的自托管可观测性与评估平台。它能够捕获智能体会话、工具调用、模型请求和错误，将其转化为可搜索的分析数据和评估结果，并通过仪表盘展示，同时提供可选的只读 AI 助手。

在托管部署模式下，您提供一个专用 Kubernetes 集群，Exosphere 负责在其中运行完整平台，代表您完成每个组件的部署、配置、运维、备份和升级。您的团队无需自行维护数据库、证书或升级，即可享受平台的全部价值（智能体可见性、分析、评估以及可选助手）。所有数据均保留在您的云账户内。

***

## 前提条件

* 用于拉取容器镜像和下载制品的 **GitHub PAT**（详见 [enterprise-docs/github-token.md](/zh/agenteye/github-token)）
* 一个**专用 Kubernetes 集群**（详见下方要求）
* 用于数据库备份的**存储桶**
* **网络连通性**：集群负载均衡器的 443 端口需对外开放

***

## 第一步：准备专用 Kubernetes 集群

创建一个专用于 AgentEye 的 Kubernetes 集群。该集群不应与其他工作负载共享，以确保完整平台（应用服务、数据库、分析和缓存）在隔离环境中运行，不影响您现有的基础设施。

| 要求        | 详情                                                     |
| --------- | ------------------------------------------------------ |
| **发行版**   | 任何符合标准的 Kubernetes：EKS、GKE、AKS 或自管理                    |
| **版本**    | 1.27 或更高                                               |
| **节点池**   | 最低配置：**3 个节点，每节点 4 vCPU / 8 GB RAM**（标准通用实例）           |
| **存储**    | 默认 StorageClass，可供应块存储卷（例如 AWS 的 `gp3`、GCP 的 `pd-ssd`） |
| **负载均衡器** | 集群必须能够创建云 LoadBalancer 服务（EKS、GKE、AKS 默认支持）            |

> Exosphere 负责在集群内安装和管理其他所有内容：Ingress 控制器、TLS 证书、数据库、缓存、监控以及所有应用部署。

***

## 第二步：向 AgentEye 团队授予访问权限

Exosphere 需要集群管理员权限（或同等的广泛 RBAC 权限），以管理命名空间、自定义资源定义、Ingress 控制器和存储供应器。

| 要求            | 详情                                                                |
| ------------- | ----------------------------------------------------------------- |
| **访问方式**      | IAM 角色（EKS/GKE 首选）、kubeconfig 或基于 SSO 的访问                         |
| **VPN / 跳板机** | 如果 Kubernetes API Server 为私有模式，请为 Exosphere 运维团队提供 VPN 凭据或跳板机访问权限 |

***

## 第三步：配置网络连通性

您的网络团队需要允许集群负载均衡器的 **443 端口**接收入站流量。部署将使用两个独立的负载均衡器：一个用于事件采集（mTLS 保护），另一个用于仪表盘：

| 流量类型     | 来源                  | 目标                      | 安全机制                     |
| -------- | ------------------- | ----------------------- | ------------------------ |
| **事件采集** | 您集群中的 Collector Pod | 采集 LoadBalancer，443 端口  | mTLS（客户端证书）+ API 密钥      |
| **仪表盘**  | 开发者浏览器              | 仪表盘 LoadBalancer，443 端口 | 您域名上的 HTTPS，无密码邮件 OTP 登录 |

采集端点受双向 TLS 保护；每次请求时，Collector 必须同时提供有效的客户端证书**和**有效的 API 密钥。仪表盘运行在独立的负载均衡器和主机名上，登录仅限您白名单中的电子邮件地址/域名。

**DNS 记录（一次性配置）：** 您需要在自己控制的域名下创建两条 CNAME 记录——一条指向采集端点，一条指向仪表盘（例如 `agenteye.your-company.example`）——分别指向 Exosphere 提供的负载均衡器主机名。之后，Exosphere 会自动为两个主机名签发公信 TLS 证书，并自动续期。

> **80 端口说明：** 自动证书签发和续期需要通过每个负载均衡器的 80 端口进行 HTTP 验证。如果您的安全策略需要将仪表盘负载均衡器限制在企业 IP 范围内，请提前告知 Exosphere——我们会切换为基于 DNS 的证书验证方式（您需在 DNS 侧额外添加一条记录），以确保受限情况下证书续期仍能正常运行。

> **出站流量：** 集群节点需要访问互联网，以从 `ghcr.io` 拉取容器镜像。如果您的网络限制出站流量，请将 `ghcr.io` 加入白名单，或将镜像同步至您的内部镜像仓库。

***

## 第四步：提供备份存储桶

数据库备份存储在您拥有的云存储桶中。

| 要求       | 详情                                                              |
| -------- | --------------------------------------------------------------- |
| **服务**   | S3（AWS）、GCS（GCP）或 Azure Blob Storage                            |
| **访问权限** | 通过 IAM 角色授予集群节点写入权限（EKS 使用 IRSA，GKE 使用 Workload Identity），或提供凭据 |
| **保留策略** | 您自行控制存储桶的生命周期策略（保留期限、归档规则）。Exosphere 负责写入备份，保留时长由您决定            |

每日执行一次全量备份，将 PostgreSQL（关系型状态数据）和 ClickHouse（事件与评估数据）一并打包为压缩归档文件并上传至您的存储桶。每次升级前也会自动执行备份。

***

## 第五步：指定联系人

请提供您方一名负责人或 Slack/Teams 频道，用于处理集群级别的问题：节点健康状况、云账户限制、网络变更等。日常运维无需通过此联系人。

***

## 我们部署的组件

Exosphere 获得集群访问权限后，将为您部署并管理以下组件：

| 组件                  | 职责                                                                |
| ------------------- | ----------------------------------------------------------------- |
| **AgentEye Server** | HTTP API，接收来自 Collector 的事件、运行分析并向仪表盘提供数据                         |
| **Dashboard**       | Web 界面，用于查看智能体会话、工具调用、模型请求和错误；托管可选的只读 AI 助手                       |
| **ClickHouse**      | 必需的规范化存储，用于存储采集的事件、分析数据和评估结果                                      |
| **PostgreSQL**      | 关系型存储，用于组织、API 密钥、用户、仪表盘和已保存查询                                    |
| **Redis**           | 可选的共享缓存和限流后端；即使不可用，平台也能优雅降级                                       |
| **AI 助手（可选）**       | 内部只读助手容器；在配置 LLM 端点之前保持禁用状态                                       |
| **Ingress 控制器**     | 两个负载均衡器（一个用于 mTLS 保护的采集，一个用于仪表盘），使用公信自动续期证书终止 TLS，并在采集端点强制执行 mTLS |
| **cert-manager**    | 自动化 TLS 证书签发和 mTLS 客户端证书颁发                                        |
| **证书监控**            | 定时任务，检查证书到期时间，在证书临近续期时发送告警（例如发送至 Slack）                           |

托管服务还负责运行平台的评估流水线，根据您的评估标准对智能体活动进行评分。详见 [enterprise-docs/assistant.md](/zh/agenteye/assistant) 和 [enterprise-docs/evaluation-suite.md](/zh/agenteye/evaluation-suite)，了解这些功能的具体能力。

***

## 我们向您提供的内容

部署完成后，您将收到：

| 项目                   | 详情                                                                                                                  |
| -------------------- | ------------------------------------------------------------------------------------------------------------------- |
| **仪表盘 URL**          | 您域名下的一个主机名（例如 `https://agenteye.your-company.example`），使用公信自动续期 TLS 证书。您只需创建一条指向我们提供的负载均衡器主机名的 CNAME；登录方式为无密码邮件 OTP |
| **Collector 端点**     | 采集主机名的 `/events` 路径（例如 `https://ingest.your-company.example/events`），受 mTLS 保护                                      |
| **客户端证书包**           | 按集群分发：客户端证书、私钥和 CA 证书，以 Kubernetes Secret 清单形式交付。每个集群应用一次即可                                                         |
| **GitHub PAT**       | 用于下载 Collector 二进制文件和 Python SDK 包                                                                                  |
| **Collector API 密钥** | 具有 `events:add` 权限的范围密钥，每个 Collector 部署一个                                                                           |
| **安装指南**             | Collector 和 Python SDK 的分步文档                                                                                        |

***

## 设置完成后您需要做的事情

您唯一的后续工作是在您自己的智能体机器上进行，而非 AgentEye 集群：

1. 在每个运行 AI 智能体的 Kubernetes 集群中**安装 Collector**：挂载客户端证书，配置端点 URL 和 API 密钥。详见 [enterprise-docs/collector-installation.md](/zh/agenteye/collector-installation)。
2. 将 **Python SDK 集成**到您的智能体代码中。详见 [enterprise-docs/python-sdk.md](/zh/agenteye/python-sdk)。
3. 在浏览器中**打开仪表盘**，查看智能体活动。

无需进行集群运维、数据库管理、证书续期或升级操作。

***

## 安全性

* **数据始终保留在您的云账户中。** 集群、存储和数据库全部在您的环境中运行，数据不会离开您的边界。
* **您掌控访问权限。** 集群在您的账户中，您可以随时审计、监控或撤销 Exosphere 的访问权限。所有操作均通过您云平台的审计日志记录（CloudTrail、GCP Audit Logs 等）。
* **事件采集采用 mTLS。** 每次 Collector 请求都需要同时提供有效的客户端证书和 API 密钥。仅凭泄露的密钥无法访问（没有证书无效）；仅凭窃取的证书也无法访问（没有有效密钥无效）。
* **仪表盘访问控制。** 仪表盘运行在独立的负载均衡器上，与事件采集分离，登录方式为无密码邮件 OTP，仅限您白名单中的电子邮件地址/域名。如需在负载均衡器上配置 IP 来源范围白名单，可按需申请；由于自动证书续期需要访问负载均衡器，Exosphere 会将此限制与基于 DNS 的证书验证配对使用，以确保续期正常运行。
* **按集群颁发证书。** 您的每个集群都有独立的客户端证书。若某个集群遭到入侵，该证书可独立撤销，不影响其他集群。

***

## 部署时间表

| 阶段               | 时长    | 您的参与                               |
| ---------------- | ----- | ---------------------------------- |
| **集群准备**         | 1-2 天 | 准备集群并授予 Exosphere 访问权限             |
| **平台搭建**         | 1 天   | 无需参与；Exosphere 负责安装所有基础设施组件        |
| **应用部署**         | 1 天   | 无需参与；Exosphere 部署服务端、仪表盘并创建 API 密钥 |
| **Collector 上线** | 1-3 天 | 在您的集群中安装 Collector（Exosphere 提供指导） |
| **生产磨合期**        | 1 周   | 无需参与；Exosphere 负责监控和调优             |

从启动到生产就绪，典型总耗时：**约 2 周**。

***

## 支持

如有疑问或问题，请通过 `support@exosphere.host` 联系 Exosphere。

***

## 后续步骤

* [入门指南](/zh/agenteye/getting-started)：端到端完整流程
* [Collector 安装](/zh/agenteye/collector-installation)：安装和配置 Collector
* [Python SDK](/zh/agenteye/python-sdk)：为您的智能体代码添加埋点
* [API 密钥](/zh/agenteye/api-keys)：管理访问权限和权限配置
* [故障排查](/zh/agenteye/troubleshooting)：常见问题及解决方案
