部署智能体运行时
将本地构建的高代码智能体部署至运行时上,为智能体提供一个安全隔离、与框架和模型无关的托管运行环境,确保智能体在独立、受控的条件下运行。
本文为您介绍如何在控制台上创建智能体运行时,定义智能体的基本信息、来源方式、权限与访问控制等。
前提条件
- 创建运行时需要创建委托并授权给安全沙箱服务,请确保创建的委托名称为AgentArtsRuntimeDeploymentAgency,且委托包含以下身份策略权限:
表1 授权项 授权项
功能介绍
swr:repo:download
授予共享版仓库下载镜像的权限。
swr::createAuthorizationToken
授予共享版仓库生成新的临时登录指令的权限。
sts::createServiceBearerToken
授予权限获取一个绑定至某服务的Bearer Token。
- 创建运行时需要进行入站认证,入站认证功能需要为智能体网络创建服务关联委托,该服务关联委托包含以下策略权限:
授权项
功能介绍
agentIdentity::getAuthorizerConfiguration
授予查询工作负载身份授权配置的权限。
agentIdentity::createWorkloadAccessToken
授予获取代理工作负载访问令牌的权限。
agentIdentity::createWorkloadAccessTokenForJWT
授予使用JWT令牌获取代表用户操作的代理工作负载访问令牌的权限。
agentIdentity::createWorkloadAccessTokenForUserId
授予使用用户ID获取代表用户操作的代理工作负载访问令牌的权限。
csms:secret:getVersion
授予查询指定凭据版本的信息和其明文凭据值的权限。
kms:cmk:decryptDataKey
授予解密数据密钥的权限。
- 如果需要在运行时通过身份提供商获取出站凭据访问外部服务,请确保传入的委托包含以下身份策略权限:
授权项
功能介绍
agentIdentity::getResourceApiKey
授予获取与API密钥凭证提供者关联的API密钥的权限。
agentIdentity::getResourceOauth2Token
授予通过OAuth2两方/三方授权流程获取访问令牌,以访问外部资源的权限。
agentIdentity::getResourceStsToken
授予从STS凭证提供者获取IAM临时凭证的权限。
- 如果需要在运行时上报AOM,APM可观测性指标,请确保传入的委托包含以下身份策略权限:
授权项
功能介绍
apm:application:get
授予获取应用信息数据的权限。
aom:metric:list
授予权限以查询普罗实例。
aom:icmgr:get
授予权限以获取采集组件版本信息。
- 如出站网络使用VPC网络访问,请确保已开通虚拟私有云,并已创建私有网络、子网、安全组。详细操作请参见创建虚拟私有云和子网,创建安全组。
- 管理员可在IAM控制台为创建的IAM用户授予权限,授权后,用户即可根据权限使用账号中的云服务资源,为IAM用户授权的操作指导可参考给IAM用户授权。如果需要为子用户授予完整的智能体运行时服务权限,除了为IAM用户授予AgentArtsCoreRunFullAccessPolicy身份策略外,还需要额外对子用户进行如下授权:
授权项
功能介绍
iam:agencies:pass
授予向云服务传递委托的权限。
iam:agencies:createV5
授予创建信任委托的权限。
vpc:routeTables:update
授予更新路由表权限。
vpc:nativePorts:create
授予原生API创建端口权限。
vpc:nativePorts:delete
授予原生API删除端口权限。
eip:publicIps:associateInstance
授予将弹性公网IP绑定网卡的权限。
eip:publicIps:disassociateInstance
授予将弹性公网IP解绑网卡的权限。
kms:cmk:createDataKey
授予使用KMS密钥生成数据密钥的权限。
kms:cmk:decryptDataKey
授予解密数据密钥的权限。
csms:secret:create
授予创建和恢复凭据的权限。
csms:secret:delete
授予删除指定凭据版本状态的权限。
约束与限制
- 最多可创建运行时的数量为1000个。
- 单个运行时可以创建的版本数量为1000个。
- 单个运行时可以创建的访问方式数量为10个。
托管智能体
- 在左侧导航栏选择“部署运行 > 智能体运行时 ”。
- 单击“托管智能体”,输入相关配置信息,具体参数请参考表2,配置完成后单击“确定”。
表2 参数说明 参数
说明
基本信息
名称
智能体运行时的名称,同一账号下名称不可重复。
命名规则:
- 以小写字母开头,小写字母或数字结尾。
- 支持数字、小写字母、中划线。
- 长度为2-48个字符。
描述
用于对智能体运行时内容和用途的简要说明。
规则:长度不大于4096个字符。
来源方式
镜像
指定一个包含智能体应用程序及其所有依赖项的容器镜像。
单击“选择镜像”,在“我的镜像”、“共享镜像”或“镜像中心”下选择需要的镜像。
权限与访问控制
委托
授予的代理权限或代理功能,允许代表智能体与外部系统进行通信和交互。
选择IAM中已创建的委托,如未创建,请单击“创建委托”,具体请参考创建委托。
入栈协议
选择入栈协议,定义智能体接收和处理外部请求的方式。
入站身份认证
配置入站身份认证方式。在智能体接收到请求时,对请求进行身份验证和授权,确保请求来自可信的来源,并且具有访问特定资源的权限。
支持以下认证方式:
- IAM认证:使用登录管理控制台时使用的IAM用户名进行认证。
- OAuth 2.0认证:将OAuth 2.0配置为入站身份认证。选择“OAuth 2.0认证”后,相关参数配置请参考表5。
- API Key 认证:通过接口的访问密钥进行身份验证和授权。输入API Key的名称后,为智能体运行时创建和绑定API Key。
可观测配置
日志记录
- 未开启,托管运行时过程产生的日志无法上报至云日志服务。
- 开启后,托管运行时过程产生的日志会上报云日志服务(LTS)。
高级配置
出网网络配置
配置智能体运行时的网络访问方式。
- 公网访问:智能体可以访问互联网上的公共资源。
- 私网访问:连接到内部的私有网络,访问内部的资源和服务。
- 选择已配置的VPC,如未配置,请单击“新建VPC”,具体请参考创建虚拟私有云和子网。
- 选择已配置的子网,如未配置,请单击“新建子网”,具体请参考创建虚拟私有云和子网。
- 选择已配置的安全组,如未配置,请单击“新建安全组”,具体请参考创建安全组。
配置后单击
刷新。 - 启动命令(可选):智能体启动时需要执行的命令。
- 监听端口:智能体在运行时监听的网络端口,用于接收外部的网络请求。
- 环境变量:智能体运行时传递给应用程序的变量。
相关操作
支持从运行时、工具、记忆库和网关等多维度监控全链路的关键指标,实时洞察您的Agent性能、准确性和可靠性。详细操作请参见观测智能体。
更多操作
智能体创建完成后,您还可以执行如下操作。
|
操作 |
说明 |
|---|---|
|
查看智能体运行时基本信息 |
在智能体运行时页面,单击运行时名称,在“基本信息”页签,查看运行时的基本信息、访问方式及高级配置。 |
|
修改智能体运行时 |
|
|
删除智能体运行时 |
运行时删除后不可恢复,请谨慎操作。
|
相关文档
智能体运行时创建成功后,您还可以在Agent中集成以下功能:
在智能体中集成工具:将工具集成到您的Agent代码中,使Agent能够调用隔离环境来完成代码运行、浏览器操作等复杂任务。
在智能体中集成记忆库:在智能体中集成记忆库,实现智能体与记忆库的快速对接。
在智能体中使用网关:将网关集成到智能体的代码中或添加到已有的MCP智能体客户端,以便后续调用网关能力,
集成后,将开发好的Agent打包上传至镜像仓库,然后更新运行时镜像。
