Hermes Agent本地部署:Docker环境契约与四阶段验证法
1. 为什么“Hermes Agent本地部署”不是个普通安装任务,而是一场环境协同战?
“Hermes Agent(爱马仕)本地部署教程,一文搞定!”——这个标题听起来像一份开箱即用的说明书,但实操中你会发现,它根本不是“下载→解压→双击运行”那种桌面软件。我第一次在Mac上尝试时,花了整整两天才让dashboard正常加载,中间反复重装Docker、重置Python虚拟环境、甚至怀疑自己是不是连git clone都敲错了。后来才明白:Hermes不是在你的机器上“跑起来”,而是在一个精心编排的多层环境交界面上“稳住”。
它的核心矛盾在于:Hermes本身是一个高度动态的AI代理系统,要调用终端命令、执行Python脚本、启动浏览器自动化、连接本地大模型服务(比如Ollama或vLLM),还要把聊天记录、记忆、技能状态持久化保存。这些能力横跨了四个关键层面:宿主机操作系统(Linux/macOS/Windows)、Docker容器运行时、Python依赖生态、以及外部推理服务网络。任何一个层面出现微小错位——比如Docker卷挂载权限不对、Python包版本冲突、或者容器内无法解析宿主机服务域名——整个系统就会卡在“启动成功但功能残缺”的灰色地带。
这解释了为什么全网搜索“hermes agent 安装”会出现大量“已解决”却毫无细节的帖子。因为问题从来不在Hermes代码本身,而在你本地环境与官方镜像设计之间的隐式契约是否被完整履行。官方文档里那句轻描淡写的“-v ~/.hermes:/opt/data”背后,藏着对UID/GID权限、文件系统挂载选项、SELinux上下文(Linux)、甚至macOS上Docker Desktop后台进程资源分配的全套要求。我见过太多人卡在Permission denied错误上,翻遍日志只看到一行chown: changing ownership of '/opt/data/.env': Operation not permitted,却不知道这行报错其实指向的是宿主机用户UID(比如501)与容器内默认hermes用户UID(10000)不匹配这个底层事实。
更关键的是,Hermes的“本地部署”天然带有双重身份:它既是被部署的服务端(gateway API、dashboard Web界面),又是主动发起连接的客户端(调用Ollama、访问本地vLLM、通过SSH连接远程服务器)。这意味着你的网络配置必须同时满足“对外暴露”和“对内穿透”两个相反需求。比如在Docker Compose中,vllm服务监听0.0.0.0:8000是必须的,但如果写成127.0.0.1:8000,Hermes容器就永远收不到响应——因为127.0.0.1在容器内指向的是它自己,而不是宿主机。这种“同一IP地址在不同网络命名空间中语义完全不同”的认知鸿沟,正是新手最常掉进去的坑。
所以,这篇教程不会从“第一步:安装Python”开始罗列流水线。我会直接切入那些官方文档里一笔带过、但实际部署中90%失败率都源于此的环境契约点。比如:为什么~/.hermes目录的权限必须是755而不是700?为什么在Linux上用--network host比映射端口更可靠?为什么docker run -it --rm交互式启动后,.env文件生成位置决定了后续所有服务的生死?这些不是可选项,而是Hermes运行时赖以存在的地基。跳过它们去谈“如何配置Claude模型”,就像没打地基就砌墙——表面看立住了,一场风就倒。
提示:本文所有操作命令均经过Ubuntu 24.04、macOS Sonoma 14.5、Windows 11 WSL2三种环境实测。其中macOS和WSL2环境因Docker Desktop架构差异,需额外注意
host.docker.internal的可用性与/dev/shm挂载问题。Linux原生Docker环境则需警惕cgroup v2与旧版systemd的兼容性。
2. Docker镜像不是黑盒,而是可拆解的运行时契约
很多人把docker run nousresearch/hermes-agent当成一个魔法咒语,输入后期待一切自动就绪。但当你遇到container immediately exits(容器秒退)或browser tools not working(浏览器工具失效)时,就会发现这个镜像远非黑盒,而是一份写在Dockerfile里的、关于运行时环境的精确契约。理解这份契约,是调试一切问题的起点。
先看官方镜像的核心构成(基于url_content1中Dockerfile说明提炼):
| 组件 | 版本/来源 | 关键作用 | 部署敏感点 |
|---|---|---|---|
| 基础系统 | debian:13.4 | 提供稳定、精简的Linux发行版基础 | 避免与宿主机glibc版本冲突;不支持CentOS/RHEL系直接替换base image |
| Python环境 | python3+uv pip install -e ".[all]" | 使用超快的uv包管理器安装所有依赖,包括异步HTTP客户端、结构化数据解析库等 | 若需自定义Python包(如特定版本playwright),必须在派生镜像中重新uv pip install,不能在运行时pip install(因容器以非root用户运行) |
| Node.js & npm | nodejs+npm | 支持WhatsApp桥接、前端构建、以及通过npx按需执行JS工具 | npx缓存位于容器内部/root/.npm,docker rm后丢失;需将/root/.npm也挂载为卷才能持久化 |
| Playwright & Chromium | npx playwright install --with-deps chromium --only-shell | 提供无头浏览器自动化能力,用于网页抓取、表单提交等 | 最关键的部署陷阱:Chromium需要/dev/shm共享内存,默认Docker分配仅64MB,而Chromium启动至少需512MB;不加--shm-size=1g必报Failed to move to new namespace错误 |
| 系统工具集 | ripgrep,ffmpeg,git,xz-utils | 支持代码搜索、音视频处理、Git仓库操作、压缩解压等原子能力 | git二进制路径固定为/usr/bin/git,若Hermes技能脚本中硬编码了/opt/homebrew/bin/git(macOS Homebrew路径),则会静默失败 |
| Docker CLI | docker-cli预装 | 允许Hermes容器内执行docker build/run等命令,实现“Agent驱动Docker”范式 | 必须绑定挂载/var/run/docker.sock才能生效;否则docker命令存在但无法连接守护进程 |
| SSH Client | openssh-client | 支持通过SSH后端连接远程服务器执行命令 | 若缺失,SSH工具调用会静默失败,日志中无任何错误提示,仅表现为命令无响应 |
这份契约最反直觉的一点在于:镜像内所有服务都以非root用户hermes(UID 10000)身份运行。这是安全最佳实践,但也制造了最大的部署摩擦。当docker run -v ~/.hermes:/opt/data时,如果宿主机上的~/.hermes目录由UID 1001(比如macOS默认用户)拥有,那么容器内hermes用户(UID 10000)就无法写入该目录,导致.env密钥文件创建失败、会话历史无法保存、甚至整个gateway进程因权限拒绝而退出。
解决方案不是粗暴地chmod 777 ~/.hermes(这会破坏安全性),而是精准对齐UID。在Linux/macOS上,你可以:
# 查看宿主机当前用户UID id -u # 启动容器时显式指定容器内hermes用户的UID/GID,使其匹配宿主机 docker run -d \ --name hermes \ --restart unless-stopped \ -v ~/.hermes:/opt/data \ -e HERMES_UID=$(id -u) \ -e HERMES_GID=$(id -g) \ -p 8642:8642 \ nousresearch/hermes-agent gateway run在Windows WSL2中,由于WSL2的Linux内核与Windows用户体系分离,推荐直接使用HERMES_UID=1000(WSL2默认用户UID)并确保~/.hermes目录归属正确:
# 在WSL2中执行 sudo chown -R 1000:1000 ~/.hermes sudo chmod -R 755 ~/.hermes另一个常被忽略的契约点是s6-overlay作为PID 1的监管机制。它取代了旧版tini,带来了更健壮的进程监管:gateway崩溃后1秒内自动重启,dashboard崩溃后同样自动恢复,且日志统一输出到docker logs。但这也意味着,如果你用docker exec -it hermes bash进入容器手动修改配置,然后exit退出,s6-supervise会检测到主进程(hermes gateway run)已终止,随即触发容器退出。这不是bug,而是设计——Hermes容器的生命周期应由s6完全管理,而非人工干预。
注意:
s6-overlay的/etc/cont-init.d/01-hermes-setup脚本会在容器首次启动时执行关键初始化,包括修复卷所有权、生成默认config.yaml、同步内置技能。如果你反复docker rm又docker run,这个脚本只在/opt/data为空时才执行。因此,调试配置问题时,不要盲目删除容器,而应先docker exec hermes ls -la /opt/data检查文件是否存在,再决定是否清空数据目录。
3. 从零构建可验证的本地部署流水线:四阶段渐进式验证法
“一文搞定”的真正含义,不是跳过所有步骤,而是建立一套可中断、可回溯、可验证的部署流程。我把完整部署拆解为四个严格递进的阶段,每个阶段都有明确的成功标准和失败诊断路径。只有当前阶段100%通过,才进入下一阶段。这套方法让我在为客户部署时,将平均排错时间从8小时压缩到45分钟以内。
3.1 阶段一:交互式CLI启动与基础配置(5分钟验证)
目标:确认镜像能拉起、数据卷挂载正确、设置向导可交互完成。
操作命令(所有平台通用):
# 创建数据目录(确保有写权限) mkdir -p ~/.hermes # 以交互模式运行设置向导 docker run -it --rm \ -v ~/.hermes:/opt/data \ nousresearch/hermes-agent setup成功标志:
- 终端出现彩色欢迎界面,提示
Welcome to Hermes Agent Setup! - 你能顺利输入
ANTHROPIC_API_KEY(或OPENAI_API_KEY)并看到✓ API key saved to /opt/data/.env提示 - 向导最后显示
Setup complete! Your configuration is saved.并自动退出
失败诊断与修复:
现象:容器秒退,
docker logs hermes为空
根因:~/.hermes目录权限不足或UID不匹配
修复:chmod -R 755 ~/.hermes+ 添加-e HERMES_UID=$(id -u)参数现象:向导卡在
Enter your Anthropic API key:,输入后无响应
根因:Docker Desktop后台资源不足(尤其macOS)
修复:打开Docker Desktop设置 → Resources → 将CPUs调至4,Memory调至6GB,Apply & Restart现象:报错
Error: failed to load config: open /opt/data/config.yaml: permission denied
根因:.env文件已存在但权限为600,而容器内hermes用户无读取权
修复:chmod 644 ~/.hermes/.env
实操心得:此阶段绝不配置任何模型或聊天平台。目标纯粹是“让setup向导走完”。很多教程一上来就教你怎么配Telegram Bot Token,结果setup都过不了,纯属本末倒置。
3.2 阶段二:Gateway API服务健康检查(3分钟验证)
目标:确认核心gateway服务在后台稳定运行,并能响应健康检查。
操作命令:
# 启动gateway服务(后台守护) docker run -d \ --name hermes \ --restart unless-stopped \ -v ~/.hermes:/opt/data \ -p 8642:8642 \ nousresearch/hermes-agent gateway run # 等待30秒,检查容器状态 docker ps | grep hermes # 直接调用健康检查端点(无需API Key) curl -s http://localhost:8642/health | jq .成功标志:
docker ps显示hermes容器状态为Up X secondscurl返回JSON:{"status":"ok","timestamp":171xxxxxx,"uptime_seconds":123}
失败诊断与修复:
现象:
curl返回curl: (7) Failed to connect to localhost port 8642: Connection refused
根因:端口被占用,或容器未真正启动
修复:lsof -i :8642查占用进程;docker logs hermes看首行错误(常见为.env格式错误)现象:
curl返回{"detail":"Not Found"}
根因:gateway未启用API Server(默认关闭)
修复:添加环境变量-e API_SERVER_ENABLED=true,并确保-p 8642:8642已声明现象:
docker logs hermes末尾持续刷INFO: Started server process [1]但无健康检查日志
根因:gateway启动成功,但API Server未监听0.0.0.0
修复:添加-e API_SERVER_HOST=0.0.0.0
提示:此阶段不测试OpenAI兼容API的实际调用(如
/v1/chat/completions),因为那需要模型配置。健康检查通过,证明Hermes核心框架已就绪。
3.3 阶段三:Dashboard Web界面可访问(7分钟验证)
目标:确认内置Web Dashboard能加载,且UI元素(如会话列表、模型选择)渲染正常。
操作命令:
# 重启容器,启用Dashboard docker rm -f hermes docker run -d \ --name hermes \ --restart unless-stopped \ -v ~/.hermes:/opt/data \ -p 8642:8642 \ -p 9119:9119 \ -e HERMES_DASHBOARD=1 \ -e HERMES_DASHBOARD_HOST=0.0.0.0 \ nousresearch/hermes-agent gateway run # 检查Dashboard日志(过滤[dashboard]前缀) docker logs -f hermes 2>&1 | grep "\[dashboard\]"成功标志:
docker logs中出现[dashboard] INFO: Uvicorn running on http://0.0.0.0:9119- 浏览器访问
http://localhost:9119显示Hermes Dashboard登录页(OAuth门控未启用时) - 登录后能看到左侧导航栏:
Sessions,Models,Skills,Memories
失败诊断与修复:
现象:浏览器显示
This site can’t be reached
根因:HERMES_DASHBOARD_HOST未设为0.0.0.0,仍绑定127.0.0.1(仅容器内可访问)
修复:确认-e HERMES_DASHBOARD_HOST=0.0.0.0已添加现象:Dashboard页面空白,控制台报
Failed to load resource: the server responded with a status of 401 (Unauthorized)
根因:OAuth门控被意外触发(因HERMES_DASHBOARD_HOST=0.0.0.0且未配置OAuth提供者)
修复:添加-e HERMES_DASHBOARD_INSECURE=1禁用门控(仅限本地可信网络)现象:Dashboard加载但
Sessions列表为空,点击+ New Session无响应
根因:~/.hermes/sessions/目录权限错误,dashboard无法写入
修复:chmod -R 755 ~/.hermes/sessions
实操心得:Dashboard的
[dashboard]日志前缀是关键线索。如果看不到这行日志,说明dashboard进程根本没启动,此时应检查HERMES_DASHBOARD=1是否拼写正确(大小写敏感!)。
3.4 阶段四:本地大模型(Ollama/vLLM)端到端连通(10分钟验证)
目标:让Hermes通过OpenAI兼容API调用你本地运行的Ollama或vLLM模型,并返回真实推理结果。
前提:已在宿主机启动Ollama(ollama run llama3)或vLLM(vllm serve --model Qwen/Qwen2.5-7B-Instruct)
操作命令(以Ollama为例):
# 编辑Hermes配置文件(在宿主机上) nano ~/.hermes/config.yamlconfig.yaml关键配置(Linux/macOS):
model: provider: custom model: llama3 # 必须与ollama list中显示的NAME一致 base_url: http://host.docker.internal:11434/v1 # macOS/Windows # base_url: http://127.0.0.1:11434/v1 # Linux原生Docker api_key: "none" # 确保gateway重启以加载新配置 docker restart hermes验证命令:
# 向Hermes gateway发送一个测试请求(模拟OpenAI API) curl -X POST "http://localhost:8642/v1/chat/completions" \ -H "Content-Type: application/json" \ -H "Authorization: Bearer your-api-key-here" \ -d '{ "model": "llama3", "messages": [{"role": "user", "content": "Hello, who are you?"}] }' | jq '.choices[0].message.content'成功标志:
curl返回"I am a large language model developed by Ollama..."等真实响应docker logs hermes中可见[gateway] INFO: OpenAI-compatible request to http://host.docker.internal:11434/v1/chat/completions
失败诊断与修复:
现象:
curl返回{"error":{"message":"Connection refused","type":"api_connection_error"}}
根因:Hermes容器无法解析host.docker.internal(macOS/Windows Docker Desktop 4.18+已默认启用,旧版需手动开启)
修复:升级Docker Desktop,或改用base_url: http://docker.host.internal:11434/v1(Docker Desktop 4.18+新增别名)现象:
curl返回{"error":{"message":"Model 'llama3' not found","type":"invalid_request_error"}}
根因:config.yaml中model字段值与Ollama实际模型名不一致
修复:运行ollama list,复制第一列NAME(如llama3:latest),在config.yaml中写为llama3(去掉:latest)现象:
curl长时间无响应,最终超时
根因:Ollama未监听0.0.0.0,只监听127.0.0.1
修复:停止Ollama,重新运行OLLAMA_HOST=0.0.0.0:11434 ollama serve
关键洞察:此阶段验证的是网络连通性,而非模型能力。只要返回任意文本,就证明Hermes→Ollama的链路已打通。后续优化模型响应质量(如调整temperature、max_tokens)属于高级配置,不在“本地部署”基础验证范畴内。
4. 生产级部署避坑指南:那些文档不会明说的12个致命细节
官方文档写得清晰优雅,但真实世界部署中,有12个细节像暗礁一样潜伏在字里行间,稍不注意就会让Hermes在看似成功的状态下悄然失效。这些不是Bug,而是设计约束与现实环境碰撞出的必然结果。以下是我踩过、修过、也帮客户填平的所有坑。
4.1 数据卷挂载:~/.hermes不是普通目录,而是状态中心
致命细节1:并发写入灾难
文档警告“切勿同时对同一数据目录运行两个Hermes gateway容器”,但没说后果有多严重。实测:两个容器同时写sessions/xxx.json会导致JSON文件损坏,docker logs hermes中出现json.decoder.JSONDecodeError: Expecting value,且无法自动恢复。解决方案:严格使用--name hermes-work和--name hermes-personal区分容器名,并为每个profile创建独立目录~/.hermes-work、~/.hermes-personal。致命细节2:符号链接陷阱
若~/.hermes是符号链接(如指向NAS存储),Docker挂载时可能因权限传递失败。docker run -v ~/.hermes:/opt/data会挂载符号链接本身,而非其指向的真实路径。解决方案:始终使用绝对路径挂载,-v $(realpath ~/.hermes):/opt/data。
4.2 网络配置:host.docker.internal不是万能钥匙
致命细节3:Linux原生Docker无
host.docker.internal
官方文档说“Linux上使用--network host”,但没提--network host会禁用-p端口映射,且让Hermes容器直接暴露在宿主机网络中,存在安全风险。更优方案:创建自定义bridge网络并添加host alias:docker network create hermes-net docker run -d --network hermes-net --network-alias host.docker.internal \ -v ~/.hermes:/opt/data -p 8642:8642 nousresearch/hermes-agent gateway run致命细节4:macOS防火墙拦截
host.docker.internal
升级macOS Sonoma后,系统防火墙可能阻止Docker Desktop访问host.docker.internal。现象:curl http://host.docker.internal:11434在宿主机终端成功,但在Hermes容器内失败。解决方案:System Settings → Network → Firewall → Options → Enable stealth mode关掉。
4.3 资源限制:浏览器自动化不是可选功能,而是内存黑洞
致命细节5:
--shm-size=1g必须显式声明
Playwright的Chromium需要至少512MB共享内存,Docker默认仅64MB。不加此参数,execute_code调用浏览器时会静默失败,日志中只有[gateway] ERROR: ... subprocess.CalledProcessError。验证命令:docker exec hermes df -h /dev/shm,应显示1.0G。致命细节6:CPU限制导致推理超时
当Hermes调用Ollama时,若容器--cpus=0.5,而Ollama模型加载需2核,会导致curl请求卡死。解决方案:--cpus=2.0起步,用docker stats hermes监控CPU使用率,确保峰值<80%。
4.4 安全配置:API密钥管理的三个反模式
致命细节7:
.env文件硬编码API Key
文档示例用-e ANTHROPIC_API_KEY="sk-...",但生产环境密钥不应明文写入命令行(ps aux可见)。正确做法:使用Docker secrets(Swarm)或--env-file .env,.env文件权限设为600。致命细节8:
API_SERVER_KEY长度不足
文档说“最少8个字符”,但实测若用12345678,Hermes会启动但API请求返回401 Unauthorized。原因:openssl rand -hex 32生成的32字节密钥被Base64编码,而Hermes内部校验逻辑要求原始密钥长度≥32字节。安全密钥生成:openssl rand -base64 48。致命细节9:Dashboard OAuth门控配置错误
启用HERMES_DASHBOARD_HOST=0.0.0.0后,若忘记配置HERMES_DASHBOARD_OAUTH_CLIENT_ID,容器会启动失败并报错Missing environment variable: HERMES_DASHBOARD_OAUTH_CLIENT_ID。快速绕过:-e HERMES_DASHBOARD_INSECURE=1,但仅限内网。
4.5 技能与扩展:npx和uvx不是银弹
致命细节10:
npx包缓存污染npx playwright@1.40.0 test.js会下载playwright@1.40.0到/root/.npm/_npx,但下次npx playwright@1.41.0会共存,导致磁盘爆满。清理命令:docker exec hermes npx npm cache clean --force。致命细节11:Python技能依赖隔离失败
若技能脚本requirements.txt含pydantic==2.6.0,而Hermes镜像自带pydantic==2.7.0,uvx会静默使用系统版本,导致运行时报AttributeError。解决方案:在技能目录下创建pyproject.toml,用[build-system]指定requires = ["setuptools>=61.0"],强制uvx重建隔离环境。
4.6 升级与维护:docker pull不是一键更新
- 致命细节12:配置文件格式变更导致启动失败
Hermes新版本config.yaml可能新增必填字段(如model.provider从openai变为custom)。docker pull后直接docker run会因配置解析失败而退出。安全升级流程:docker run -it --rm -v ~/.hermes:/opt/data nousresearch/hermes-agent version查当前版本curl -o ~/.hermes/config.yaml.new https://raw.githubusercontent.com/nousresearch/hermes-agent/main/config.example.yamldiff ~/.hermes/config.yaml ~/.hermes/config.yaml.new手动合并变更docker pull nousresearch/hermes-agent:latest && docker restart hermes
最后一个血泪教训:永远不要在生产环境中使用
latest标签。docker pull nousresearch/hermes-agent:0.4.2锁定具体版本,避免某天latest突然升级引入不兼容变更。我在客户现场亲眼见过一次latest升级导致所有execute_code调用返回空字符串,回滚到0.3.8后立即恢复——而这个版本号,在官方文档的Release Notes里藏在第7页。
5. 进阶实战:为Hermes Agent定制专属工作流的3种可持续模式
部署成功只是起点。真正的价值在于让Hermes成为你工作流中不可替代的智能协作者。基于两年来为27个技术团队实施的经验,我总结出三种已被验证的可持续工作流模式,每一种都对应不同的技术成熟度和业务场景,且全部基于官方支持的扩展机制,无需魔改代码。
5.1 模式一:“轻量技能注入”——用npx和uvx构建零维护工作流(适合个人开发者)
核心思想:不碰Docker镜像,不改Python环境,所有新能力通过npx/uvx按需加载。Hermes会记住你每次使用的命令,并在后续会话中自动复用。
实战案例:为Hermes添加“一键生成GitHub Release Note”能力
在宿主机安装
ghCLI(GitHub官方工具):# macOS brew install gh # Linux curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg | sudo dd of=/usr/share/keyrings/githubcli-archive-keyring.gpg echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/githubcli-archive-keyring.gpg] https://cli.github.com/packages stable main" | sudo tee /etc/apt/sources.list.d/github-cli.list > /dev/null sudo apt update && sudo apt install gh在Hermes交互式会话中,让Agent学会使用
gh:Hey Hermes, I want to generate a GitHub release note for my repo. Please use the `gh` CLI tool. First, authenticate me with `gh auth login`, then run `gh release create v1.0.0 --notes "Initial release"` for repo `myorg/myrepo`.Hermes执行后,会将
gh auth login和gh release create命令存入其持久记忆。下次你只需说:“Create release v1.0.1 for myorg/myrepo”,它就会自动调用gh,无需你再输入认证步骤。
为什么可持续?
gh二进制在宿主机,Hermes容器内通过PATH调用,版本升级由brew upgrade gh完成,与Hermes镜像解耦。- 所有
gh生成的临时文件(如~/.ghc)都在宿主机,~/.hermes卷中只存命令记忆,体积可控。 - 若
gh命令变更(如gh release create改为gh release draft),你只需在新会话中告诉Hermes一次,它就自动更新记忆。
实操心得:此模式最适合“一次性任务自动化”,如生成文档、发布包、查询CI状态。我用它把每周花2小时的手动发布流程,压缩到一句语音指令。
5.2 模式二:“Sidecar服务编排”——用Docker Compose构建企业级AI工作台(适合技术团队)
核心思想:将Hermes作为中央调度器,所有重负载服务(数据库、向量库、浏览器集群)作为独立Sidecar容器运行,通过Docker网络通信。Hermes不承担服务稳定性责任,只负责智能决策。
实战案例:为Hermes集成本地Milvus向量数据库,实现“文档智能问答”
编写
docker-compose.yml,定义Hermes与Milvus:version: '3.8' services: milvus: image: milvusdb/milvus:v2.4.7 container_name: milvus command: ["milvus", "run", "standalone"] ports: - "19530:19530" - "9091:9091" volumes: - ./milvus-data:/var/lib/milvus networks: - hermes-net hermes: image: nousresearch/hermes-agent:0.4.2 container_name: hermes restart: unless-stopped command: gateway run ports: - "8642:8642" - "9119:9119" volumes: - ~/.hermes:/opt/data environment: - HERMES_DASHBOARD=1 - HERMES_DASHBOARD_HOST=0.0.0.0 networks: - hermes-net networks: hermes-net: driver: bridge在
~/.hermes/config.yaml中配置Milvus连接:skills: - name: vector_search description: Search documents in Milvus vector database script: | #!/usr/bin/env python3 import requests import json # Hermes自动将/opt/data/milvus-config.json挂载进来 with open('/opt/data/milvus-config.json') as f: config = json.load(f) response = requests.post( f"http://milvus:19530/collections/{config['collection']}/vectors", json={"data": [[0.1, 0.2, 0.3]]}, timeout=30 ) print(response.json())启动并验证:
docker compose up -d # 等待Milvus初始化(约2分钟) docker compose logs -f milvus | grep "Milvus Standalone successfully started" # 然后在Hermes Dashboard中启用vector_search技能
为什么可持续?
- Milvus升级只需
docker compose pull milvus && docker compose up -d milvus,Hermes完全不受影响。 - 若Milvus崩溃,Hermes仍可处理其他任务(如代码生成),故障隔离彻底。
- 团队可并行开发:前端组维护Hermes Dashboard皮肤,后端组优化Milvus索引策略,互不干扰。
关键洞察:Sidecar模式让Hermes回归“Agent”本质——它不存储数据,不运行服务,只做决策。这极大降低了运维复杂度,也是我们为金融客户部署时首选的模式。