AgenticSpace是AgenticFS中为单个Agent终端用户分配的独立工作空间,支持容量配额、文件数配额、访问隔离与性能隔离。本文介绍如何通过控制台或OpenAPI创建、修改、删除AgenticSpace,以及在ECS或Agent Sandbox中挂载AgenticSpace。
使用限制
已创建AgenticFS文件系统。当前AgenticFS仅支持白名单创建,如需使用,请提交工单申请。
单个AgenticFS最多50万个AgenticSpace;单个AgenticSpace上限1 PiB容量、10亿文件。
路径不支持重命名、软链接,不支持AgenticSpace嵌套。
仅支持NFS v3(Linux),不支持SMB与Windows。支持ECS、ACS Agent Sandbox等支持NFS v3挂载的Linux计算节点。
创建AgenticSpace
支持控制台和OpenAPI两种方式。创建时需指定路径与配额,下表为关键参数。
参数 | 必填 | 说明 |
Path | 是 | AgenticSpace路径,例如 |
SizeQuota | 是 | 容量配额,单位GiB,最小1 GiB,按1 GiB步长扩容。 |
FileCountQuota | 是 | 文件数配额,最大10亿。 |
方式一:控制台
登录NAS控制台,进入目标AgenticFS文件系统的AgenticSpace页签。
单击创建AgenticSpace,按上表填写参数后提交。
方式二:OpenAPI
调用CreateAgenticSpace接口,请求示例:
POST /AgenticSpace/Create HTTP/1.1
Host: nas.aliyuncs.com
Content-Type: application/json
{
"FileSystemId":"031*******",
"FileSystemPath":"/test5/",
"RegionId":"cn-shanghai",
"Azone":"cn-shanghai-f",
"Quota.SizeLimit":"110595407872",
"Quota.FileCountLimit":100004
}查看与修改配额
在AgenticSpace列表中可查看路径、可用区、容量配额/已使用、文件数配额/已使用、创建时间等字段。单击目标行操作列的编辑调整容量、文件数配额;也可调用SetAgenticSpaceQuota接口。
新配额必须高于当前已使用值,否则修改失败。
接入点(AccessPoint)
接入点是AgenticFS的NFS协议访问入口,承担挂载寻址、权限校验与流量隔离。AgenticFS的接入点支持两种粒度:
AgenticFS粒度:接入点指向AgenticFS根,用于平台运维、批量管理AgenticSpace等可信场景。当前版本AgenticFS根目录暂不支持挂载,仅用于OpenAPI管控调用。
AgenticSpace粒度:接入点指向单个AgenticSpace,挂载后视图被限制在对应AgenticSpace内,是Agent会话拉起的标准入口。
RAM访问授权
接入点支持基于RAM的访问策略,用于控制不同应用、不同RAM用户/角色对AgenticFS与AgenticSpace的访问范围。建议为RAM子账号授予 nas:ClientMount 权限,并通过 nas:AccessPointArn 条件限定可挂载的接入点。示例策略:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"nas:ClientMount"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"nas:AccessPointArn": "acs:nas:*:*:accesspoint/ap-xxxxxx"
}
}
}
]
}建议为不同Agent应用、不同终端用户使用相互隔离的RAM角色与接入点,避免越权访问其他AgenticSpace。
挂载AgenticSpace
AgenticSpace支持两种典型挂载场景:在ECS上通过ALINAS客户端直接挂载,或在ACS集群中通过Agent Sandbox(SandboxClaim)以CSI方式挂载。两种场景均需先完成上文 接入点(AccessPoint) 的RAM授权,且计算节点需与AgenticFS接入点在同一VPC。
说明 当前版本仅支持挂载AgenticSpace,AgenticFS根目录暂不支持挂载。
场景一:在ECS上挂载
在AgenticSpace列表中获取挂载地址。挂载地址即对应AgenticSpace接入点的NFS域名,挂载后视图自动限制在该AgenticSpace内。
在ECS(Linux)安装NFS客户端:
# CentOS / Alibaba Cloud Linux sudo yum install -y nfs-utils # Ubuntu / Debian sudo apt-get install -y nfs-common配置RAM AK/SK凭证(用于接入点鉴权):
sudo mkdir -p /etc/aliyun/alinas sudo tee /etc/aliyun/alinas/.credentials > /dev/null <<EOF [NASCredentials] accessKeyID = <子账号AK> accessKeySecret = <子账号SK> EOF执行挂载命令,并通过 df -h 验证:
sudo mount -t alinas -o tls,vers=3,ram <挂载地址>:/ /mnt/agenticspace
场景二:在Agent Sandbox中通过CSI挂载
适用于在ACS集群中通过Agent Sandbox(SandboxSet/SandboxClaim)拉起的容器化Agent实例,将AgenticSpace作为持久化Workspace挂载到Sandbox容器。
前置条件
已开通容器计算服务ACS并创建ACS集群,集群与AgenticFS接入点在同一VPC。
已在ACS集群安装
ack-agent-sandbox-controller组件,并通过SandboxSet完成沙箱预热池配置。详情请参见容器服务文档创建Agent Sandbox。用于挂载的RAM子账号已按上文接入点(AccessPoint)中的策略示例完成授权。
步骤一:创建Secret与PV
将子账号AK/SK写入Secret,并创建指向AgenticSpace接入点的PV:
apiVersion: v1
kind: Secret
metadata:
name: nas-secret
namespace: sandbox-system
stringData:
akId: <子账号AK>
akSecret: <子账号SK>
---
apiVersion: v1
kind: PersistentVolume
metadata:
name: nas-agenticspace-pv
labels:
alicloud-pvname: nas-agenticspace-pv
spec:
capacity:
storage: 500Gi
accessModes:
- ReadWriteMany
csi:
driver: nasplugin.csi.alibabacloud.com
volumeHandle: nas-agenticspace-pv
nodePublishSecretRef:
name: nas-secret
namespace: sandbox-system
volumeAttributes:
server: "<AgenticSpace接入点域名>"
path: "/"
vers: "3"
mountprotocol: "alinas"
filesystemtype: "standard"
mountOptions:
- tls,ram
- vers=3应用后执行 kubectl get pv,确认PV状态为 Available。
步骤二:通过SandboxClaim挂载
在SandboxClaim中通过 dynamicVolumesMount 引用上一步创建的PV,并指定容器内挂载路径:
apiVersion: agents.kruise.io/v1alpha1
kind: SandboxClaim
metadata:
name: code-interpreter-claim
namespace: default
spec:
templateName: code-interpreter # SandboxSet 名称
replicas: 1
claimTimeout: 5m
ttlAfterCompleted: 15m
dynamicVolumesMount:
- pvName: nas-agenticspace-pv
mountPath: "/workspace"步骤三:验证挂载结果
查看SandboxClaim对应的Pod,进入容器验证挂载路径:
kubectl get sandbox -n default -l agents.kruise.io/claim-name=code-interpreter-claim
kubectl -n default exec -it <sandbox-pod-name> -- sh
df -h | grep workspace删除AgenticSpace
删除前需卸载所有接入点并备份数据,删除操作不可恢复。
在AgenticSpace管理列表中单击目标行操作列的删除,或调用DeleteAgenticSpace接口。删除完成后,原路径可重新创建AgenticSpace。
常见问题
挂载时返回 access denied?
检查ECS与AgenticFS是否在同一VPC。
写入返回 no space?
已达到容量或文件数配额上限。通过修改配额扩容,或清理AgenticSpace中的文件。
是否支持跨AgenticFS迁移AgenticSpace?
当前版本不支持。需先创建新AgenticSpace,再通过应用层复制数据。
能否使用SMB或Windows访问?
不支持。AgenticFS当前仅支持NFS v3协议与Linux客户端。