通过控制台部署智能体运行时

前提条件

• 使用智能体运行时前需要先开通AgentArts服务并进行服务授权，请在“授权管理”页面进行云服务开通及授权，详细信息请参考授权管理。
• （可选）如出网网络配置为私网访问，请确保已开通虚拟私有云，并已创建VPC、子网、安全组。详细操作请参见创建虚拟私有云和子网、创建安全组。

• （可选）管理员可在IAM控制台为创建的IAM子用户授予权限，授权后，子用户即可根据权限使用账号中的云服务资源，相关操作步骤如下。
  1. 创建IAM用户。
  2. 给IAM用户授权。
     • 为子用户授予完整的智能体运行时服务权限，需授予AgentArtsCoreRunFullAccessPolicy身份策略。
     • 可根据子用户实际需求创建自定义身份策略并授予如下权限，授权项功能介绍请参考表1。

       表1 授权项

       授权项	功能介绍
       iam:agencies:pass	授予向云服务传递委托的权限。
       iam:agencies:createV5	授予创建信任委托的权限。
       vpc:routeTables:update	授予更新路由表权限。
       vpc:nativePorts:create	授予原生API创建端口权限。
       vpc:nativePorts:delete	授予原生API删除端口权限。
       eip:publicIps:associateInstance	授予将弹性公网IP绑定网卡的权限。
       eip:publicIps:disassociateInstance	授予将弹性公网IP解绑网卡的权限。
       kms:cmk:createDataKey	授予使用KMS密钥生成数据密钥的权限。
       kms:cmk:decryptDataKey	授予解密数据密钥的权限。
       csms:secret:create	授予创建和恢复凭据的权限。
       csms:secret:delete	授予删除指定凭据版本状态的权限。
       sfsturbo:shares:getShare	查询弹性文件系统。
       sfsturbo:shares:getAllShares	查询弹性文件系统列表。

约束与限制

• 单个用户创建智能体运行时的数量限制：1000个。
• 单个智能体运行时创建的版本数量限制：1000个。
• 单个智能体运行时创建的访问方式数量限制：10个。
• 在“来源方式”中选择镜像时，当前仅支持在ARM64平台上构建的容器镜像。
• 请使用非latest的镜像tag管理镜像更新，使用时应避免重复推送完全相同的镜像名和标签，如强制更新镜像需要重建或者修改智能体运行时使用的镜像路径。

托管智能体

1. 登录AgentArts智能体平台。

2. 在左侧导航栏选择“部署运行 > 智能体运行时 ”。
3. 单击“托管智能体”，输入相关配置信息，具体参数请参考表2，配置完成后单击“确定”。

   表2 参数说明

   参数		说明
   基本信息	名称	智能体运行时的名称，同一账号下名称不可重复。 命名规则： 以小写字母开头，小写字母或数字结尾。 支持数字、小写字母、中划线。 长度为2-48个字符。
   	描述	用于对智能体运行时内容和用途的简要说明。 规则：长度不大于4096个字符。
   来源方式	镜像	指定一个包含智能体应用程序及其所有依赖项的容器镜像。请选择与所选镜像架构匹配的镜像，否则可能导致运行异常。 单击“选择镜像”，在“我的镜像”、“共享镜像”或“镜像中心”下选择需要的镜像。 我的镜像：来源于在容器镜像服务中客户端或页面上传的镜像，详细操作请参见页面上传镜像、客户端上传。 共享镜像：来源于在容器镜像服务中他人共享的镜像，详情请查看共享镜像。 镜像中心：来源于容器镜像服务中的镜像中心。
   权限与访问控制	委托	授予的代理权限或代理功能，允许代表智能体与外部系统进行通信和交互。 选择IAM中已创建的委托，如未创建，请单击“创建委托”，具体请参考创建委托。
   	入站网关	选择配置入站网关中创建的网关，确保智能体通过该网关访问互联网。
   	入栈协议	选择入栈协议，定义智能体接收和处理外部请求的方式。关于HTTP以及MCP的详细入站协议请参见入栈协议介绍。
   	入站身份认证	配置入站身份认证方式。在智能体接收到请求时，对请求进行身份验证和授权，确保请求来自可信的来源，并且具有访问特定资源的权限。 支持以下认证方式： IAM认证：使用登录管理控制台时使用的IAM用户名进行认证。 OAuth 2.0认证：将OAuth 2.0配置为入站身份认证。选择“OAuth 2.0认证”后，相关参数配置请参考表4。 API Key 认证：通过接口的访问密钥进行身份验证和授权。输入API Key的名称后，为智能体运行时创建和绑定API Key。
   可观测配置	日志记录	未开启，托管运行时过程产生的日志无法上报至云日志服务（LTS）。 开启后，托管运行时过程产生的日志会上报云日志服务（LTS），日志管理费用按需收取，有关计费相关内容请参考LTS计费说明。
   高级配置	出网网络配置	配置智能体运行时的网络访问方式。 公网访问：智能体可以访问互联网上的公共资源。 私网访问：连接到内部的私有网络，访问内部的资源和服务。 选择已配置的VPC，如未配置，请单击“新建VPC”，具体请参考创建虚拟私有云和子网。 选择已配置的子网，如未配置，请单击“新建子网”，具体请参考创建虚拟私有云和子网。 选择已配置的安全组，如未配置，请单击“新建安全组”，具体请参考创建安全组。 配置后单击刷新。 存储配置（可选）：当出网网络配置为“私网网络”时，可配置存储配置。如果用户需要为智能体（Agent）配置大文件存储，默认的存储空间可能不足以满足智能体处理大文件（如知识库、数据集等）的需求。通过存储配置，用户可以利用华为云SFS Turbo实例扩展智能体的存储空间，确保智能体能够正常运行和处理大文件。开启后，最多添加5个存储，单击“添加存储”，详细参数配置请参考表3。 启动命令（可选）：智能体启动时需要执行的命令，最多添加10个命令，每个命令长度为1-256个字符。 启动命令中如指定端口时需要与监听端口相同。 监听端口：智能体在运行时监听的网络端口，用于接收外部的网络请求。 所配置的监听端口需要与镜像中配置的监听端口（Dockerfile文件中的“EXPOSE”）保持一致。当前仅支持配置一个监听端口。 路由配置：在调用智能体运行时的时候，支持指定接口路由匹配类型，以实现更灵活的请求路由策略。 严格匹配：要求调用URL必须完全符合指定的路径模式，只有当请求的URL路径为/runtimes/{runtime_name}/invocations时，才会匹配成功。一旦选择严格匹配，后续镜像新增的接口无法再修改为前缀匹配。 前缀匹配：调用URL的匹配模式支持 /runtimes/{runtime_name}/invocations 以及 /runtimes/{runtime_name}/invocations/{custom_path} 的调用路径。选择前缀匹配后，后续镜像中可以新增、删除接口等。 文件上传下载： 开启后，智能体运行时将提供文件上传和下载的API接口。如可以通过上传接口将本地文件发送到智能体，智能体分析文件内容并生成报告后，用户可以下载生成的报告。 配置后不允许修改。 环境变量：智能体运行时传递给应用程序的变量。 表单编辑：通过键值对方式配置环境变量。单击“添加变量”，设置键和值。 JSON格式编辑：通过JSON文件方式配置环境变量。 JSON文件格式要求如下： { "键": "值", "Path": "/dir/xxx" } 启动命令、监听端口及环境变量的配置具体可参考Dockerfile参数在智能体运行时中如何使用。
   	标签	可选参数。 由“标签键”和“标签值”组成，用于标识和分类云资源。 您可以在TMS中创建预定义标签，用于使用同一标签标识多种云资源，创建后可在标签输入框下拉选择同一标签，具体操作请参考创建预定义标签，创建后单击刷新。 单击“添加标签”，选择在TMS中创建的预定义标签，或自定义输入标签键和标签值。 可添加一个或多个标签，最多添加20个标签。

   表3 添加存储参数说明

   参数	说明
   类型	选择文件系统类型。 默认选择SFS Turbo。
   文件系统	选择文件系统。如未创建，单击“创建文件系统”，详细操作说明请参考创建文件系统。 配置后单击刷新。 说明： SFS turbo和智能体运行时中的出网网络配置必须在同一VPC内，SFS turbo文件系统使用的安全组需放通NFS协议使用的端口号，具体信息请参考VPC的安全组是否影响高性能弹性文件服务的使用，安全组需要放通运行时出站的子网网段访问SFS turbo。 选择的文件系统需为NFS协议。 AgentArts部署智能体运行时时挂载NFS文件系统的soft/hard的模式为hard模式，关于soft/hard的模式详情信息请查看挂载SFS Turbo文件系统到Linux云服务器。 为了您的信息安全，请勿在文件系统中存放敏感数据。
   存储路径	输入文件系统中数据的存储路径。 存储路径以"/"开头，不能包含".."，最大长度4000字符，默认为/。
   挂载路径	输入文件系统中数据的挂载路径，使得该目录下的文件和目录可以被访问。 挂载路径为/home, /mnt, /data, /tmp以上目录的子目录，不能包含“..”，最大长度为4000字符。 存在多个SFS Turbo挂载时，禁止使用相同或存在包含关系的路径。 同一智能体运行时的多个版本挂载在同一目录时会自动共享。 说明： 挂载路径的Linux文件系统权限，继承自SFS Turbo存储路径的原有权限（SFS Turbo根目录权限为任何用户可读写）。此权限不支持通过chmod/chown等命令修改。
   读写权限	选择函数对挂载文件系统的读写权限。 读写：函数可以读取、写入和修改文件系统中的数据，默认为读写。 说明： Linux文件系统权限和读写权限两者必须同时允许，读写才能成功，若任一项禁止，读写操作将失败。 只读：函数只能读取文件系统中的数据，不能写入或修改数据。

   表4 OAuth 2.0认证参数配置说明

   参数	说明
   Discovery URL	OAuth发现服务器（OAuth discovery server）只支持公网权威的认证服务器，即服务端证书必须能够校验通过。 需输入身份提供商（例如Okta、Cognito等）提供的Discovery URL，该URL通常可在该提供商的文档中找到。输入以https:// 开头，/.well-known/openid-configuration结尾的有效 URL。
   JWT授权配置
   允许的受众	用于认证为OAuth 2.0指定的受众是否在Agent Identity运行中指定的受众匹配或为其子集。 支持添加100个受众。
   允许的客户端	用于认证为OAuth 2.0指定的客户端标识符是否被允许访问Agent Identity。 支持添加100个客户端。
   允许的范围	仅当令牌包含此处配置的至少一个必须范围时才允许访问自定义声明。 支持添加100个范围。
   自定义声明	仅当令牌中的特定声明与预定义字符串值相匹配时才允许访问。 支持添加100个自定义声明。

   

   运行时界面所显示的状态是运行时创建/删除所处的状态，表示操作本身的执行结果，状态“正常”意味着已成功在agentarts和miracle进行创建，并非实际运行的实例的状态。

   

相关操作

支持从智能体运行时、工具、记忆库和网关等多维度监控全链路的关键指标，实时洞察您的Agent性能、准确性和可靠性。详细操作请参见观测智能体。

更多操作

智能体运行时创建完成后，您还可以执行如下操作。

相关文档

智能体运行时创建成功后，您还可以集成以下功能：

在智能体中集成沙箱工具：将工具集成到您的智能体中，使智能体能够调用隔离环境来完成代码运行任务。

在智能体中集成记忆库：在智能体中集成记忆库，实现智能体与记忆库的快速对接。

在智能体中使用网关：将网关集成到智能体的代码中或添加到已有的MCP智能体客户端，以便后续调用网关能力，集成后，将开发好的Agent打包上传至镜像仓库，然后更新运行时镜像。