全部产品
Search
文档中心

文件存储 NAS:管理AgenticSpace

更新时间:Jul 01, 2026

AgenticSpace是AgenticFS中为单个Agent终端用户分配的独立工作空间,支持容量配额、文件数配额、访问隔离与性能隔离。本文介绍如何通过控制台或OpenAPI创建、修改、删除AgenticSpace,以及在ECS或Agent Sandbox中挂载AgenticSpace。

使用限制

  • 已创建AgenticFS文件系统。当前AgenticFS仅支持白名单创建,如需使用,提交工单申请。

  • 单个AgenticFS最多50万个AgenticSpace;单个AgenticSpace上限1 PiB容量、10亿文件。

  • 路径不支持重命名、软链接,不支持AgenticSpace嵌套。

  • 仅支持NFS v3(Linux),不支持SMB与Windows。支持ECS、ACS Agent Sandbox等支持NFS v3挂载的Linux计算节点。

创建AgenticSpace

支持控制台和OpenAPI两种方式。创建时需指定路径与配额,下表为关键参数。

参数

必填

说明

Path

AgenticSpace路径,例如 /workspace_user001

SizeQuota

容量配额,单位GiB,最小1 GiB,按1 GiB步长扩容。

FileCountQuota

文件数配额,最大10亿。

方式一:控制台

  1. 登录NAS控制台,进入目标AgenticFS文件系统的AgenticSpace页签。

  2. 单击创建AgenticSpace,按上表填写参数后提交。

方式二:OpenAPI

调用CreateAgenticSpace接口,请求示例:

POST /AgenticSpace/Create HTTP/1.1
Host: nas.aliyuncs.com
Content-Type: application/json

{
"FileSystemId":"031*******",
"FileSystemPath":"/test5/",
"RegionId":"cn-shanghai",
"Azone":"cn-shanghai-f",
"Quota.SizeLimit":"110595407872",
"Quota.FileCountLimit":100004
}

查看与修改配额

AgenticSpace列表中可查看路径、可用区、容量配额/已使用、文件数配额/已使用、创建时间等字段。单击目标行操作列的编辑调整容量、文件数配额;也可调用SetAgenticSpaceQuota接口。

说明

新配额必须高于当前已使用值,否则修改失败。

接入点(AccessPoint)

接入点是AgenticFS的NFS协议访问入口,承担挂载寻址、权限校验与流量隔离。AgenticFS的接入点支持两种粒度:

  • AgenticFS粒度:接入点指向AgenticFS根,用于平台运维、批量管理AgenticSpace等可信场景。当前版本AgenticFS根目录暂不支持挂载,仅用于OpenAPI管控调用。

  • AgenticSpace粒度:接入点指向单个AgenticSpace,挂载后视图被限制在对应AgenticSpace内,是Agent会话拉起的标准入口。

RAM访问授权

接入点支持基于RAM的访问策略,用于控制不同应用、不同RAM用户/角色对AgenticFS与AgenticSpace的访问范围。建议为RAM子账号授予 nas:ClientMount 权限,并通过 nas:AccessPointArn 条件限定可挂载的接入点。示例策略:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "nas:ClientMount"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "nas:AccessPointArn": "acs:nas:*:*:accesspoint/ap-xxxxxx"
        }
      }
    }
  ]
}
说明

建议为不同Agent应用、不同终端用户使用相互隔离的RAM角色与接入点,避免越权访问其他AgenticSpace。

挂载AgenticSpace

AgenticSpace支持两种典型挂载场景:在ECS上通过ALINAS客户端直接挂载,或在ACS集群中通过Agent Sandbox(SandboxClaim)以CSI方式挂载。两种场景均需先完成上文 接入点(AccessPoint) 的RAM授权,且计算节点需与AgenticFS接入点在同一VPC。

说明 当前版本仅支持挂载AgenticSpace,AgenticFS根目录暂不支持挂载。

场景一:在ECS上挂载

  1. 在AgenticSpace列表中获取挂载地址。挂载地址即对应AgenticSpace接入点的NFS域名,挂载后视图自动限制在该AgenticSpace内。

  2. 在ECS(Linux)安装NFS客户端:

    # CentOS / Alibaba Cloud Linux
    sudo yum install -y nfs-utils
    
    # Ubuntu / Debian
    sudo apt-get install -y nfs-common
  3. 配置RAM AK/SK凭证(用于接入点鉴权):

    sudo mkdir -p /etc/aliyun/alinas
    sudo tee /etc/aliyun/alinas/.credentials > /dev/null <<EOF
    [NASCredentials]
    accessKeyID = <子账号AK>
    accessKeySecret = <子账号SK>
    EOF
  4. 执行挂载命令,并通过 df -h 验证:

    sudo mount -t alinas -o tls,vers=3,ram <挂载地址>:/ /mnt/agenticspace

场景二:在Agent Sandbox中通过CSI挂载

适用于在ACS集群中通过Agent Sandbox(SandboxSet/SandboxClaim)拉起的容器化Agent实例,将AgenticSpace作为持久化Workspace挂载到Sandbox容器。

前置条件

  • 已开通容器计算服务ACS并创建ACS集群,集群与AgenticFS接入点在同一VPC。

  • 已在ACS集群安装 ack-agent-sandbox-controller 组件,并通过SandboxSet完成沙箱预热池配置。详情请参见容器服务文档创建Agent Sandbox。

  • 用于挂载的RAM子账号已按上文接入点(AccessPoint)中的策略示例完成授权。

步骤一:创建Secret与PV

将子账号AK/SK写入Secret,并创建指向AgenticSpace接入点的PV:

apiVersion: v1
kind: Secret
metadata:
  name: nas-secret
  namespace: sandbox-system
stringData:
  akId: <子账号AK>
  akSecret: <子账号SK>
---
apiVersion: v1
kind: PersistentVolume
metadata:
  name: nas-agenticspace-pv
  labels:
    alicloud-pvname: nas-agenticspace-pv
spec:
  capacity:
    storage: 500Gi
  accessModes:
    - ReadWriteMany
  csi:
    driver: nasplugin.csi.alibabacloud.com
    volumeHandle: nas-agenticspace-pv
    nodePublishSecretRef:
      name: nas-secret
      namespace: sandbox-system
    volumeAttributes:
      server: "<AgenticSpace接入点域名>"
      path: "/"
      vers: "3"
      mountprotocol: "alinas"
      filesystemtype: "standard"
  mountOptions:
  - tls,ram
  - vers=3

应用后执行 kubectl get pv,确认PV状态为 Available

步骤二:通过SandboxClaim挂载

在SandboxClaim中通过 dynamicVolumesMount 引用上一步创建的PV,并指定容器内挂载路径:

apiVersion: agents.kruise.io/v1alpha1
kind: SandboxClaim
metadata:
  name: code-interpreter-claim
  namespace: default
spec:
  templateName: code-interpreter    # SandboxSet 名称
  replicas: 1
  claimTimeout: 5m
  ttlAfterCompleted: 15m
  dynamicVolumesMount:
  - pvName: nas-agenticspace-pv
    mountPath: "/workspace"

步骤三:验证挂载结果

查看SandboxClaim对应的Pod,进入容器验证挂载路径:

kubectl get sandbox -n default -l agents.kruise.io/claim-name=code-interpreter-claim
kubectl -n default exec -it <sandbox-pod-name> -- sh
df -h | grep workspace

删除AgenticSpace

重要

删除前需卸载所有接入点并备份数据,删除操作不可恢复。

在AgenticSpace管理列表中单击目标行操作列的删除,或调用DeleteAgenticSpace接口。删除完成后,原路径可重新创建AgenticSpace。

常见问题

挂载时返回 access denied?

检查ECS与AgenticFS是否在同一VPC。

写入返回 no space?

已达到容量或文件数配额上限。通过修改配额扩容,或清理AgenticSpace中的文件。

是否支持跨AgenticFS迁移AgenticSpace?

当前版本不支持。需先创建新AgenticSpace,再通过应用层复制数据。

能否使用SMB或Windows访问?

不支持。AgenticFS当前仅支持NFS v3协议与Linux客户端。