私有化部署

Neutree Agent Platform — 私有化部署在你自己的 Kubernetes 集群上安装平台，从公共镜像仓库拉取镜像

一次安装能得到什么

这是 联网 / 在线 安装器：目标集群必须能访问公网。镜像直接从公共仓库（ghcr.io / docker.io / registry.k8s.io）拉取，前置 chart/manifest 也从各自的公共来源获取。没有离线镜像包、没有集群内仓库，也没有主机侧加载镜像的步骤。对于完全隔离网络的场景，另有一套离线安装器，提供镜像 tarball、集群内仓库和主机准备步骤。

核心平台（始终安装）

Control plane — Agent 管理、调度、用户与 Workspace 管理
Channel gateway — 外部事件（webhook、Slack 等）到达 Agent 的入口
数据层 — PostgreSQL（CloudNativePG）+ 共享 NFS
Agent Workspace 运行时 — 每个 Workspace 一个 pod 运行 Agent；Agent 之间可以互相 @、共享文件并共用记忆存储

可选模块（默认关闭）

Code Sandbox — 让 Agent 运行代码并提供临时 web 预览。由第三方 OpenSandbox 提供能力，需自行安装；平台通过 OPENSANDBOX_URL 指向它
Remote Browser — 让 Agent 驱动真实浏览器，用户通过 WebRTC 实时观看。内置 TURN 中继（coturn）和已发布的有头 Chromium 镜像
LDAP — 让用户用 LDAP 账号登录

前置条件

基础设施

资源	要求	说明
Kubernetes	v1.28+（多节点），或单个 k3s 节点（single-node profile）	推荐 3 个及以上 worker
Worker 节点	至少 4 vCPU / 8GB 内存	Agent pod 按 Workspace 动态创建
公共仓库访问	节点能从 `ghcr.io`、`docker.io`、`registry.k8s.io` 拉取镜像	仅在使用镜像源时才覆盖 `REGISTRY`
RWX 共享存储	支持 ReadWriteMany 的 CSI（最常见的是 NFS）	承载 AFS 共享目录，默认 500Gi
RWO 卷存储	任何能运行 PostgreSQL 的 CSI（Ceph RBD、vSAN 等；同一套 NFS 也可以）	PostgreSQL 数据卷 + Agent Workspace 容器磁盘

网络

项目	要求
节点 IP	至少一个用户可达的 worker IP（NodePort 会用到）
NodePort	30000–32767 范围内 3 个空闲端口：`TOS_NODE_PORT` / `BROWSER_NODE_PORT` / `SANDBOX_NODE_PORT`
TURN 端口	启用 Remote Browser 的 TURN 中继时：在 coturn 节点上开放 `3478/tcp+udp` 和 `49152-49252/udp`
存储可达性	所有节点都能挂载上面两个 storage class（NFS / 块存储 CSI 等）
仓库可达性	所有节点都能从公共仓库拉取镜像

LLM API

平台不内置任何模型。根据启用的 Agent 类型，你需要提供协议兼容的 API endpoint：

Agent 类型	所需 API 协议
Codex	OpenAI Responses API（注意：不是 Chat Completions）
Claude Code	Anthropic API

如果你现有的模型服务只支持 OpenAI Chat Completions API，一种做法是在其前面加一个转换代理，把 OpenAI Chat 协议转成 Anthropic 协议，再让 Claude Code 类的 Agent 指向该代理。

kubeconfig 权限

安装需要 cluster-admin — install.sh 会操作命名空间级管理员无法操作的资源（CRD、webhook、ClusterRole、StorageClass 等）。安装完成后可立即回收该权限；稳态运行时，control plane 通过它自己的集群内 ServiceAccount 鉴权，权限范围收得很紧（命名空间内的常规读写 + 仅对 nodes 的集群级 get/list）。

操作者的 kubeconfig 永远不会挂载进任何平台 pod。如果无法接受临时的 cluster-admin，这里给出一个等价的最小 ClusterRole。

等价的最小 ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nap-installer
rules:
  - apiGroups: [apiextensions.k8s.io]
    resources: [customresourcedefinitions]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [admissionregistration.k8s.io]
    resources: [validatingwebhookconfigurations, mutatingwebhookconfigurations]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [""]
    resources: [namespaces]
    verbs: [get, list, create, update, patch]
  - apiGroups: [rbac.authorization.k8s.io]
    resources: [clusterroles, clusterrolebindings, roles, rolebindings]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [storage.k8s.io]
    resources: [storageclasses]
    verbs: [get, list, create, update, patch]
  - apiGroups: [postgresql.cnpg.io]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: [opensandbox.alibaba.com]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: ["", apps, batch, networking.k8s.io, policy]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: [""]
    resources: [nodes]
    verbs: [get, list, watch]

实际上这仍然接近 cluster-admin（在 core/apps/batch 这几个组上是 */*），但把资源逐项列出来会让安全评审更容易。

前置条件就绪后：

概览

一次安装能得到什么

核心平台（始终安装）

Control plane — Agent 管理、调度、用户与 Workspace 管理
Channel gateway — 外部事件（webhook、Slack 等）到达 Agent 的入口
数据层 — PostgreSQL（CloudNativePG）+ 共享 NFS
Agent Workspace 运行时 — 每个 Workspace 一个 pod 运行 Agent；Agent 之间可以互相 @、共享文件并共用记忆存储

可选模块（默认关闭）

Code Sandbox — 让 Agent 运行代码并提供临时 web 预览。由第三方 OpenSandbox 提供能力，需自行安装；平台通过 OPENSANDBOX_URL 指向它
Remote Browser — 让 Agent 驱动真实浏览器，用户通过 WebRTC 实时观看。内置 TURN 中继（coturn）和已发布的有头 Chromium 镜像
LDAP — 让用户用 LDAP 账号登录

前置条件

基础设施

资源	要求	说明
Kubernetes	v1.28+（多节点），或单个 k3s 节点（single-node profile）	推荐 3 个及以上 worker
Worker 节点	至少 4 vCPU / 8GB 内存	Agent pod 按 Workspace 动态创建
公共仓库访问	节点能从 `ghcr.io`、`docker.io`、`registry.k8s.io` 拉取镜像	仅在使用镜像源时才覆盖 `REGISTRY`
RWX 共享存储	支持 ReadWriteMany 的 CSI（最常见的是 NFS）	承载 AFS 共享目录，默认 500Gi
RWO 卷存储	任何能运行 PostgreSQL 的 CSI（Ceph RBD、vSAN 等；同一套 NFS 也可以）	PostgreSQL 数据卷 + Agent Workspace 容器磁盘

网络

项目	要求
节点 IP	至少一个用户可达的 worker IP（NodePort 会用到）
NodePort	30000–32767 范围内 3 个空闲端口：`TOS_NODE_PORT` / `BROWSER_NODE_PORT` / `SANDBOX_NODE_PORT`
TURN 端口	启用 Remote Browser 的 TURN 中继时：在 coturn 节点上开放 `3478/tcp+udp` 和 `49152-49252/udp`
存储可达性	所有节点都能挂载上面两个 storage class（NFS / 块存储 CSI 等）
仓库可达性	所有节点都能从公共仓库拉取镜像

LLM API

平台不内置任何模型。根据启用的 Agent 类型，你需要提供协议兼容的 API endpoint：

Agent 类型	所需 API 协议
Codex	OpenAI Responses API（注意：不是 Chat Completions）
Claude Code	Anthropic API

kubeconfig 权限

操作者的 kubeconfig 永远不会挂载进任何平台 pod。如果无法接受临时的 cluster-admin，这里给出一个等价的最小 ClusterRole。

等价的最小 ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nap-installer
rules:
  - apiGroups: [apiextensions.k8s.io]
    resources: [customresourcedefinitions]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [admissionregistration.k8s.io]
    resources: [validatingwebhookconfigurations, mutatingwebhookconfigurations]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [""]
    resources: [namespaces]
    verbs: [get, list, create, update, patch]
  - apiGroups: [rbac.authorization.k8s.io]
    resources: [clusterroles, clusterrolebindings, roles, rolebindings]
    verbs: [get, list, watch, create, update, patch, delete]
  - apiGroups: [storage.k8s.io]
    resources: [storageclasses]
    verbs: [get, list, create, update, patch]
  - apiGroups: [postgresql.cnpg.io]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: [opensandbox.alibaba.com]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: ["", apps, batch, networking.k8s.io, policy]
    resources: ["*"]
    verbs: ["*"]
  - apiGroups: [""]
    resources: [nodes]
    verbs: [get, list, watch]

实际上这仍然接近 cluster-admin（在 core/apps/batch 这几个组上是 */*），但把资源逐项列出来会让安全评审更容易。

前置条件就绪后：

配置

按你的环境填写表单；右侧会实时预览 values.env。所有处理都在本地完成 — 不会上传任何内容。密钥用 crypto.getRandomValues 生成（等价于 openssl rand -hex 32）。机器内部密钥一旦设定，升级时不要改动 — 否则已签发的会话 token 和现有数据库都会失效。

容器镜像仓库

存放所有第一方镜像的公共镜像仓库路径

REGISTRY*

存放镜像的镜像仓库路径，结尾不带斜杠。默认是官方公共仓库；仅在使用镜像源时才覆盖

IMAGE_TAG

所有第一方镜像的 tag。固定到某个发布 tag 可获得可复现的安装

集群与访问

K8s 命名空间、kubeconfig 路径，以及用户访问平台所用的 IP / NodePort

NAMESPACE

KUBECONFIG

TOS_HOST*

必填

TOS_NODE_PORT*

Web UI + API。30000–32767。INGRESS_MODE=external 时仍会渲染但不对外暴露

INGRESS_MODE

nodeport = 默认的 NodePort 暴露方式；external = Service 改为 ClusterIP，由你自己的 ingress 接管 HTTP 服务

管理员账号

首次安装时由 seed Job 创建。JWT_SECRET 用于签发会话令牌

ADMIN_USERNAME

ADMIN_PASSWORD*

必填

ADMIN_DISPLAY_NAME

JWT_SECRET*

必填

CREDENTIAL_ENCRYPTION_KEY*

必填

PostgreSQL

PG_USERNAME

PG_PASSWORD*

必填

PG_INSTANCES

CNPG 集群副本数（含主节点）。生产环境至少 3

PG_STORAGE_SIZE

每个 PostgreSQL 实例的卷大小，例如 10Gi / 100Gi

PG_STORAGE_CLASS

PostgreSQL 卷使用的 StorageClass。留空则使用集群默认 StorageClass

共享存储

AFS 后端 + 跨节点 NFS（ReadWriteMany）

NFS_SERVER*

必填

NFS_PATH*

NFS_STORAGE_CLASS

NFS provisioner 创建的 StorageClass 名称

AFS_STORAGE_SIZE

AFS RWX PVC 的大小

Agent 运行时

控制面动态拉起的每个 workspace pod

AGENT_IMAGE_PREFIX

默认引用 REGISTRY；可填写完整前缀进行自定义

AGENT_IMAGE_TAG

AGENT_STORAGE_CLASS

agent workspace PVC 使用的 StorageClass（ReadWriteOnce 即可）。卷根目录必须是 0777 —— 安装器自带的 nfs-subdir provisioner（nfs-nap）满足这一点。安装后请确认后端：kubectl get sc <class> -o jsonpath={.provisioner}；若为 nfs.csi.k8s.io / SFS，卷根目录是 0755，agent 会遇到 mkdir EACCES，需要设置 mountPermissions:"0777"

AGENT_NODE_SELECTOR

可选。格式：key1=val1,key2=val2

可选模块

Code Sandbox

让 agent 运行代码并提供临时的 web 预览

Remote Browser

让 agent 操作真实浏览器，用户可实时观看。TURN relay 与浏览器捆绑，同步启用

LDAP

允许用户用 LDAP 账号登录

values.env 预览

# ============================================================================
# Neutree Agent Platform Self-Hosted Deployment Configuration
# Generated by nap.docs.neutree.ai configuration generator
# ============================================================================

# --- Container Registry ---
REGISTRY=ghcr.io/neutree-ai/agent-platform
IMAGE_TAG=latest

# --- Cluster & Access ---
NAMESPACE=nap
KUBECONFIG=./kubeconfig.yaml
TOS_HOST=
TOS_NODE_PORT=30080
INGRESS_MODE=nodeport

# --- Admin Account ---
ADMIN_USERNAME=admin
ADMIN_PASSWORD=
ADMIN_DISPLAY_NAME=Admin
JWT_SECRET=
CREDENTIAL_ENCRYPTION_KEY=

# --- PostgreSQL ---
PG_USERNAME=nap
PG_PASSWORD=
PG_INSTANCES=3
PG_STORAGE_SIZE=10Gi
PG_STORAGE_CLASS=

# --- Shared Storage ---
NFS_SERVER=
NFS_PATH=/data/nap
NFS_STORAGE_CLASS=nfs-nap
AFS_STORAGE_SIZE=500Gi

# --- Agent Runtime ---
AGENT_IMAGE_PREFIX=${REGISTRY}/nap-agent
AGENT_IMAGE_TAG=latest
AGENT_STORAGE_CLASS=nfs-csi
AGENT_NODE_SELECTOR=

# --- Code Sandbox (disabled) ---
SANDBOX_ENABLED=false

# --- Remote Browser + TURN Relay (disabled) ---
BROWSER_ENABLED=false
COTURN_ENABLED=false

# --- LDAP (disabled) ---
LDAP_ENABLED=false

交互式配置生成器在线地址为 nap.docs.neutree.ai/self-host/#configure。完整字段文档见 self-host/values.env.example。

安装

操作者机器上的工具

运行安装器的主机（与集群节点不同）需要：

kubectl — 与目标集群兼容的版本
envsubst — 通常随 gettext 包一起提供
openssl — 被 gen-secrets.sh 用来生成随机密钥
helm 3.x — 仅当集群尚未有 NFS provisioner 时需要；由 install.sh 的前置阶段调用

集群节点（而非操作者机器）必须能从 ghcr.io、docker.io 和 registry.k8s.io 拉取镜像。

快速开始

git clone <this-repo> && cd self-host
cp values.env.example values.env
./gen-secrets.sh                # fills random machine secrets
vi values.env                   # set TOS_HOST, ADMIN_PASSWORD, storage, etc.
./install.sh

完成后打开 http://<TOS_HOST>:<TOS_NODE_PORT>，用 values.env 里的管理员用户名 / 密码登录。

分步操作

获取安装器
```
git clone <this-repo> && cd self-host
```
所有第一方镜像都从公共仓库拉取（${REGISTRY}，默认 ghcr.io/neutree-ai/agent-platform）；没有镜像 tarball 需要加载。仅当你把镜像放到别处镜像源时才覆盖 REGISTRY。
准备 values.env
我们推荐使用 — 在线填写、下载结果，放到 self-host/ 目录下。
你也可以在命令行编辑：cp values.env.example values.env，运行 ./gen-secrets.sh 填好所有机器内部密钥，再用 vi values.env 设置 TOS_HOST、管理员密码和存储配置。
运行安装器
```
./install.sh
```
首次安装和升级用的是同一条命令；它是幂等的，可以安全地重复运行。它会安装前置组件（CloudNativePG operator 和 NFS subdir provisioner），用你的 values.env 渲染 manifest 并 apply，然后通过一次性 Job 写入管理员用户、OAuth client 和 MCP catalog。nap-cp 在启动时运行 SQL 迁移。
登录
在浏览器打开 http://<TOS_HOST>:<TOS_NODE_PORT>，用 values.env 里的 ADMIN_USERNAME 和 ADMIN_PASSWORD 登录。

install.sh 子命令

用于单独运行各阶段；通常情况下一条 ./install.sh 就够了。

./install.sh                  # full: prereqs + manifests + seed
./install.sh --prereqs-only   # only CNPG operator + NFS provisioner
./install.sh --manifests-only # only render + apply k8s manifests
./install.sh --seed-only      # only seed admin / OAuth clients / MCP (K8s Jobs)
./install.sh --render-only    # render manifests to rendered/ without applying

Single-node profile

单个 k3s 节点，所有镜像直接从公共仓库拉取 — 与完整 profile 相同，只是改成 PG_INSTANCES=1 并用集群内 NFS server 提供 RWX 存储（单节点没有外部 NFS）。它不会启动集群内仓库，也不加载任何 tarball。

cp values.env.single-node.example values.env
./gen-secrets.sh
vi values.env                 # set TOS_HOST + ADMIN_PASSWORD
./install.sh --profile=single-node

在一台已经跑好 k3s、kubeconfig 位于 /etc/rancher/k3s/k3s.yaml（single-node 示例中的默认值）的主机上运行。

隔离网络场景

本页文档讲的是联网安装器。对于完全隔离网络 / 离线的场景，另有一套离线安装器，提供镜像 tarball、集群内仓库和主机侧加载镜像的步骤。

升级

升级与首次安装用的是同一条命令。在现有 values.env 里把 IMAGE_TAG 固定到新的发布 tag（或保持 latest），然后重新运行：

./install.sh

install.sh 是幂等的，所以升级路径与首次安装一致。它会重新渲染并重新 apply manifest，并刷新第一方 deployment 以拉取新的镜像 digest。nap-cp 启动时会自动运行 SQL 迁移。

不要修改密钥 · 复用首次安装时的 values.env。如果机器内部密钥（例如 JWT_SECRET）发生变化，所有已签发的会话 token 都会失效，现有数据库也将无法访问。

从 2026-05 之前的版本升级

可选模块的默认值从"未配置即启用"改为"未配置即禁用"。如果以下 _ENABLED 字段没有在 values.env 里显式设置，升级后对应能力将处于关闭状态：

能力	旧默认值	新默认值	保持开启的方式
Remote Browser（含 TURN）	开	关	`BROWSER_ENABLED=true`
Code Sandbox	开	关	`SANDBOX_ENABLED=true`
LDAP 登录	取决于 `LDAP_URL` 是否非空	关	`LDAP_ENABLED=true`

COTURN_ENABLED 现已并入浏览器模块，自动跟随 BROWSER_ENABLED — 无需单独配置。

排障

install.sh 失败

先找出未就绪的 deployment（把 $NAMESPACE 替换为 values.env 里的 NAMESPACE，默认 nap）：

kubectl -n $NAMESPACE get pods
kubectl -n $NAMESPACE describe pod <not-ready-pod>
kubectl -n $NAMESPACE logs deploy/<deployment>

常见原因：

镜像拉不下来 → 确认节点能访问 ghcr.io / docker.io / registry.k8s.io。如果你用镜像源，检查 REGISTRY 和你配置的 IMAGE_PULL_SECRET。
PVC 卡在 Pending → 运行 kubectl -n $NAMESPACE get pvc，检查 StorageClass 是否存在、其 provisioner 是否健康
PostgreSQL 起不来 → kubectl -n $NAMESPACE describe cluster.postgresql.cnpg.io nap-pg；最常见的原因是 PG_STORAGE_CLASS 背后的 CSI 不可写
NodePort 已被占用 → 修改 TOS_NODE_PORT / BROWSER_NODE_PORT / SANDBOX_NODE_PORT 并重新运行 install.sh

通常是因为升级时 JWT_SECRET 发生了变化 — 所有已签发 token 都失效了。把 values.env 里的 JWT_SECRET 改回首次安装时的值，并重新运行 ./install.sh。

无法访问平台

浏览器在 http://<TOS_HOST>:<TOS_NODE_PORT> 得不到任何响应。两个常见原因：

TOS_HOST 不可达 — 配置的 IP 不是浏览器能访问到的 worker 节点。设置正确的节点 IP 并重新运行 install.sh
NodePort 未开放 — 节点防火墙拦截了该端口；请让 SRE 开放它

升级后 Browser / Sandbox 不见了

自 2026-05 起，可选模块的默认值改为"未配置即禁用"。如果你之前启用过 browser 或 sandbox，请在 values.env 里显式设置 BROWSER_ENABLED=true / SANDBOX_ENABLED=true。详见 Upgrade 标签页的兼容性章节。

Agent 启动失败：`mkdir /workspace/.home/.claude: EACCES`

Agent 容器以非 root 用户（node，uid 1000）运行，而 /workspace 是挂载的 PVC。如果该 PVC 由社区版 nfs.csi.k8s.io 驱动提供，该驱动默认不会对所分配的子目录执行 chmod（根据其文档，mountPermissions 默认为 0；只有非零时才执行 chmod），所以子目录权限来自 NFS server 默认的 mkdir umask — 通常是 root:root 0755，uid 1000 无法写入。

在 NFS server 上验证：

ls -ld <nfs-share>/pvc-<uuid>
# drwxr-xr-x 1 root root ...   <- 0755, not 0777

修复：在 StorageClass 的 parameters 中加上 mountPermissions: "0777"（作为字符串），然后删除失败的 PVC，让 control plane 重建它。这只影响新分配的 PV；已有的子目录需要在 NFS server 上手动 chmod 0777。

parameters:
  server: <nfs-server>
  share: <export-path>
  mountPermissions: "0777"

先确认 StorageClass 的后端，再决定如何修复：

kubectl get sc <AGENT_STORAGE_CLASS> -o jsonpath='{.provisioner}{"\n"}'

返回 cluster.local/nfs-subdir-external-provisioner — 这是安装器自带的 provisioner，会对子目录 mkdir 0777，所以通常不会出现这个问题；如果仍报错，检查 NFS server 上的实际权限。
返回 nfs.csi.k8s.io（或 SFS 等其他 CSI 驱动）— 应用上面的 mountPermissions: "0777" 修复。

常见坑：安装器的 NFS provisioner 步骤有一个"同名 StorageClass 已存在则跳过"的检查（见 install_nfs_provisioner）。如果安装前就已存在一个名为 NFS_STORAGE_CLASS（默认 nfs-nap）且后端是 nfs.csi.k8s.io / SFS 的 StorageClass，安装器会静默跳过，不部署自带的 nfs-subdir provisioner，于是 Agent Workspace 落到 0755 的后端上并触发该错误。此时 kubectl get deploy -n nap nfs-subdir-external-provisioner 返回 NotFound。两种修法皆可：给该 SC 加上 mountPermissions: "0777"（如上），或删除已存在的 SC / 改用一个不同的 NFS_STORAGE_CLASS 名称并重新运行安装器，让 nfs-subdir 真正装上。

Browser 实时画面不显示

在配置生成器里启用 Remote Browser，设置 TURN_HOST（浏览器能访问到的局域网或公网 IP）和 TURN_AUTH_SECRET，并重新运行 install.sh。TURN 中继与浏览器捆绑，随其一起启停。