生产环境部署Hermes Agent需五步:一、配置cli-config.yaml,设采集频率30秒、质量阈值±0.5%、自动工单及Modbus超时5000ms;二、在hermes_swe_env/default.yaml中设CPU shares=1024、内存limit=4G、GPU device_ids=[0];三、用cosign签名镜像并启用Docker内容信任;四、创建专用bridge网络,强制OPC UA TLS加密,限制PLC端口访问;五、启用OAuth2认证,禁用operator执行shell,开启180天审计日志。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜
如果您正在将Hermes Agent部署至生产环境,但面临资源配置失当、安全策略缺失或服务稳定性不足等问题,则可能是由于未遵循标准化部署清单与经过验证的最佳实践。以下是完成生产环境部署的关键步骤:
一、配置生产环境参数
该步骤确保Hermes Agent适配真实制造场景的运行约束与业务逻辑,避免因参数默认值导致的数据采集偏差、误报率升高或资源争用。需基于实际产线拓扑与SLA要求定制化调整核心参数。
1、复制配置模板文件:cp cli-config.yaml.example cli-config.yaml
2、编辑cli-config.yaml,设置生产数据采集频率为30秒/次
3、将质量检测阈值调整为符合ISO 9001标准的±0.5%容差范围
4、在异常处理策略中启用自动工单触发,并指定ERP系统Webhook地址
5、配置设备通信接口参数,Modbus TCP超时设为5000毫秒,重试次数设为3次
二、应用容器资源限制策略
该步骤防止单个Hermes Agent实例过度消耗宿主机资源,保障多租户共存或高并发任务下的服务可用性与响应确定性。
1、打开environments/hermes_swe_env/default.yaml文件
2、在resources.cpu区块下设置shares为1024,quota为200000,period为100000
3、在resources.memory区块下设置limit为4G,reservation为2G,swap_limit为8G
4、若启用AI质检模块,于resources.gpu区块指定device_ids为[0],memory_limit设为10G
三、启用镜像签名与运行时验证
该步骤建立从镜像构建到容器启动的完整信任链,阻断被篡改或来源不明的镜像在生产环境中执行,满足等保2.0三级及ISO/IEC 27001对软件供应链完整性要求。
1、使用cosign工具对已构建镜像签名:cosign sign --key /etc/cosign/private.key gitcode.com/github_trending/he/hermes-agent:v2.4.0
LilyFM
AI播客生成工具,一键将网页文章转换成播客
下载
2、在Docker daemon.json中启用内容信任:{"content-trust": {"mode": "enabled"}}
3、配置Kubernetes admission controller,通过notary-server校验镜像签名有效性
4、在hermes_cli/agent_runner.py中注入verify_image_signature=True参数
四、实施分层网络隔离与流量加密
该步骤切断横向移动路径,确保Hermes Agent与PLC、SCADA、MES等系统的通信仅限授权通道,并防止敏感工艺数据明文泄露。
1、为Hermes Agent容器分配专用bridge网络:docker network create --driver bridge --subnet 172.20.0.0/16 hermes-prod-net
2、在skills/terminal_tool.py中强制启用OPC UA TLS 1.2加密连接,禁用匿名认证
3、配置iptables规则,仅放行目标PLC IP段(如192.168.100.0/24)的502端口入向流量
4、在邮件通知模块skills/email/himalaya/config.yaml中启用start-tls加密:message.send.backend.encryption.type="start-tls"
五、激活多用户权限控制与操作审计
该步骤落实最小权限原则与职责分离机制,防止越权访问设备控制接口或修改核心配置,同时留存完整操作痕迹以满足合规审计要求。
1、启用OAuth2认证,在~/.hermes/auth.json中配置企业IdP元数据URL
2、在tools/skills_guard.py中定义角色策略:operator角色禁止调用terminal_tool.exec_shell命令
3、设置环境变量隔离,在environments/hermes_base_env.py中为不同租户加载独立的ENV_PREFIX
4、开启操作审计日志,将所有tool调用记录写入/var/log/hermes/audit.log,保留周期设为180天
