模組 12: 엔터프라이즈級應用
학습 목표
이 모듈을 완료하면 다음을 할 수 있습니다:
- 理解 NemoClaw(NVIDIA + OpenClaw)的技術架構與定位
- 掌握 OpenShell sandbox 的엔터프라이즈級隔離方案
- 設計符合컴플라이언스要求的多租戶 Agent 架構
- 了解中國市場的特殊限制與機遇
- 規劃엔터프라이즈級 OpenClaw 배포方案
- 評估엔터프라이즈導入 AI Agent 的風險與效益
핵심 개념
NemoClaw:엔터프라이즈級 AI Agent 平台
NemoClaw 是 NVIDIA 於 GTC 2026 大會發表的엔터프라이즈級 AI Agent 解決方案,由三個핵심 컴포넌트組成:
┌─────────────────────────────────────────────────┐
│ NemoClaw │
│ │
│ ┌──────────┐ ┌───────────┐ ┌──────────────┐ │
│ │ Nemotron │ │ OpenClaw │ │ OpenShell │ │
│ │ (LLM) │ │ (Agent) │ │ (Sandbox) │ │
│ │ │ │ │ │ │ │
│ │ NVIDIA │ │ 開源 Agent │ │ 安全실행 │ │
│ │ 自研大模型│ │ 框架 │ │ 環境 │ │
│ └──────────┘ └───────────┘ └──────────────┘ │
│ │
│ 運行於 NVIDIA DGX / HGX 基礎設施 │
└─────────────────────────────────────────────────┘
Jensen Huang 평가:
"NemoClaw is probably the single most important release of software ever." — Jensen Huang, NVIDIA GTC 2026 Keynote
NemoClaw 技術架構
| 元件 | 技術 | 엔터프라이즈價值 |
|---|---|---|
| Nemotron | NVIDIA 自研 LLM,支援 on-premise 배포 | 데이터不出엔터프라이즈網路 |
| OpenClaw | 開源 Agent 框架 | 可審計、可自訂、無供應商鎖定 |
| OpenShell | 安全沙箱실행環境 | 隔離 Agent 操作,防止越權 |
| NVIDIA NIM | 模型推論微服務 | 高성능、低지연推論 |
| DGX Cloud | GPU 基礎設施 | 彈性運算資源 |
OpenShell Sandbox
OpenShell 是 NemoClaw 中的安全실행環境,為엔터프라이즈級 Agent 操作提供多層隔離:
┌────────────────────────────────┐
│ OpenShell Sandbox │
│ │
│ ┌──────────────────────────┐ │
│ │ Agent 操作空間 │ │
│ │ │ │
│ │ ├── 檔案系統 (隔離) │ │
│ │ ├── 網路 (白名單) │ │
│ │ ├── 程式실행 (受限) │ │
│ │ └── API 呼叫 (審計) │ │
│ └──────────────────────────┘ │
│ │
│ 安全層: │
│ ├── gVisor / Firecracker VM │
│ ├── Seccomp 系統呼叫過濾 │
│ ├── Network Policy │
│ └── Audit Log │
└────────────────────────────────┘
OpenShell 的主要功能:
{
"openshell": {
"isolation": "gvisor",
"filesystem": {
"mode": "ephemeral",
"max_size_gb": 10,
"allowed_paths": ["/workspace", "/tmp"],
"readonly_paths": ["/app", "/config"]
},
"network": {
"mode": "whitelist",
"allowed_domains": [
"api.openai.com",
"api.anthropic.com",
"internal-api.company.com"
],
"blocked_ports": [22, 3389],
"egress_bandwidth_mbps": 100
},
"execution": {
"max_cpu_seconds": 300,
"max_memory_mb": 4096,
"allowed_languages": ["python", "javascript", "bash"],
"blocked_commands": ["rm -rf /", "dd", "mkfs", "iptables"]
},
"audit": {
"log_all_commands": true,
"log_network_requests": true,
"log_file_access": true,
"export_to": "splunk"
}
}
}
엔터프라이즈安全與컴플라이언스
엔터프라이즈배포需要考量的컴플라이언스框架:
| 컴플라이언스標準 | 相關要求 | OpenClaw/NemoClaw 對應 |
|---|---|---|
| ISO 27001 | 資訊安全管理 | API 검증、암호화、存取控制 |
| SOC 2 | 服務安全性 | 審計로그、데이터암호화、存取政策 |
| GDPR | 個人데이터保護 | 데이터在地化、삭제權、同意管理 |
| 個資法(한국) | 個人데이터保護 | 데이터存取記錄、安全措施 |
| 等保三級(中國) | 資訊安全等級保護 | 網路隔離、身份인증、로그審計 |
多租戶架構
엔터프라이즈環境中,多個部門或團隊共用 Agent 平台時需要租戶隔離:
┌────────────────────────────────────────┐
│ Enterprise Agent Platform │
│ │
│ ┌──────────┐ ┌──────────┐ ┌──────┐ │
│ │ 租戶 A │ │ 租戶 B │ │租戶 C│ │
│ │ (行銷部) │ │ (工程部) │ │(財務)│ │
│ │ │ │ │ │ │ │
│ │ Agent-1 │ │ Agent-3 │ │Agt-5 │ │
│ │ Agent-2 │ │ Agent-4 │ │ │ │
│ │ │ │ │ │ │ │
│ │ Skills ▪ │ │ Skills ▪ │ │Sk ▪ │ │
│ │ Memory ▪ │ │ Memory ▪ │ │Mem ▪ │ │
│ │ Data ▪ │ │ Data ▪ │ │Dat ▪ │ │
│ └──────────┘ └──────────┘ └──────┘ │
│ ↓ ↓ ↓ │
│ ┌─────────────────────────────────┐ │
│ │ Shared Infrastructure │ │
│ │ (LLM, Monitoring, Logging) │ │
│ └─────────────────────────────────┘ │
└────────────────────────────────────────┘
{
"multi_tenant": {
"enabled": true,
"isolation_level": "strict",
"tenants": [
{
"id": "marketing",
"name": "行銷部",
"max_agents": 3,
"max_api_budget_monthly_usd": 500,
"allowed_skills": ["web-search", "social-media", "content-gen"],
"blocked_skills": ["code-runner", "file-manager"],
"data_retention_days": 90,
"llm_config": {
"provider": "openai",
"model": "gpt-4o",
"max_tokens_per_request": 4096
}
},
{
"id": "engineering",
"name": "工程部",
"max_agents": 5,
"max_api_budget_monthly_usd": 2000,
"allowed_skills": ["*"],
"data_retention_days": 365,
"llm_config": {
"provider": "anthropic",
"model": "claude-sonnet-4-20250514"
}
}
]
}
}
중국 시장 특별 고려사항
政策背景
2026 年初,中國多個政府部門배포了關於 AI Agent 使用的規範:
중국 사용 제한
- 國有엔터프라이즈禁令:部分中國國有엔터프라이즈已被禁止使用 OpenClaw 等開源 AI Agent 平台,理由是데이터安全風險和對外國 LLM 的依賴
- 데이터出境:使用海外 LLM Provider(如 OpenAI、Anthropic)涉及데이터出境,需要通過安全評估
- 內容審查:Agent 產生的內容需符合中國法規的內容要求
중국 시장 대안
| 需求 | 全球方案 | 中國컴플라이언스方案 |
|---|---|---|
| LLM | OpenAI GPT-4o | 百度文心、通義千問、DeepSeek |
| Agent 平台 | OpenClaw | NemoClaw (on-premise) 或國產方案 |
| 커뮤니케이션管道 | Discord | 엔터프라이즈WeChat(WeChat Work) |
| 배포 | AWS/GCP | 阿里雲、騰訊雲 |
騰訊 WeChat 整合
OpenClaw 可以透過엔터프라이즈WeChat(WeChat Work)API 在中國市場使用:
{
"channels": {
"wechat_work": {
"enabled": true,
"corp_id": "${WECHAT_CORP_ID}",
"agent_id": "${WECHAT_AGENT_ID}",
"secret": "${WECHAT_SECRET}",
"token": "${WECHAT_TOKEN}",
"encoding_aes_key": "${WECHAT_AES_KEY}",
"webhook_path": "/api/wechat/callback"
}
}
}
// skills/wechat-handler/index.js
const crypto = require('crypto');
const xml2js = require('xml2js');
module.exports = {
name: "wechat-handler",
description: "엔터프라이즈WeChat메시지處理",
async handleWebhook(request, context) {
const { msg_signature, timestamp, nonce } = request.query;
// 검증메시지來源
if (!verifySignature(msg_signature, timestamp, nonce)) {
return { status: 403, body: 'Invalid signature' };
}
// 解密메시지
const decrypted = decryptMessage(request.body);
const message = await xml2js.parseStringPromise(decrypted);
// 處理메시지
const userMessage = message.Content[0];
const response = await context.agent.chat(userMessage);
// 답변(需암호화)
return encryptResponse(response, timestamp, nonce);
}
};
실습 튜토리얼:엔터프라이즈배포規劃
步驟一:需求評估
생성評估矩陣:
## 엔터프라이즈 Agent 배포評估表
### 1. 規模需求
- [ ] 預計使用人數:___
- [ ] 預計 Agent 數量:___
- [ ] 預計每月 LLM API 用量:___
- [ ] 是否需要多租戶隔離?
### 2. 安全需求
- [ ] 데이터是否可以離開엔터프라이즈網路? Y/N
- [ ] 是否需要 on-premise LLM? Y/N
- [ ] 需要符合哪些컴플라이언스標準?
- [ ] 是否需要全程審計로그?
### 3. 功能需求
- [ ] 需要브라우저自動化?
- [ ] 需要語音互動?
- [ ] 需要多 Agent 協作?
- [ ] 需要與哪些內部系統整合?
### 4. 營運需求
- [ ] SLA 要求:___ % uptime
- [ ] 支援時間:24/7 或 8x5?
- [ ] 災難復原 RTO:___
- [ ] 災難復原 RPO:___
步驟二:架構設計
根據評估結果選擇架構:
方案 A:雲端배포(데이터可出엔터프라이즈網路)
# kubernetes/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: openclaw-enterprise
namespace: ai-agents
spec:
replicas: 3
selector:
matchLabels:
app: openclaw
template:
metadata:
labels:
app: openclaw
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
containers:
- name: openclaw
image: ghcr.io/openclaw/openclaw:latest
ports:
- containerPort: 18789
resources:
requests:
cpu: "2"
memory: "4Gi"
limits:
cpu: "4"
memory: "8Gi"
envFrom:
- secretRef:
name: openclaw-secrets
volumeMounts:
- name: config
mountPath: /app/settings.json
subPath: settings.json
readOnly: true
- name: data
mountPath: /data
livenessProbe:
httpGet:
path: /api/health
port: 18789
initialDelaySeconds: 30
periodSeconds: 10
readinessProbe:
httpGet:
path: /api/health
port: 18789
initialDelaySeconds: 10
periodSeconds: 5
volumes:
- name: config
configMap:
name: openclaw-config
- name: data
persistentVolumeClaim:
claimName: openclaw-data
---
apiVersion: v1
kind: Service
metadata:
name: openclaw-service
namespace: ai-agents
spec:
type: ClusterIP
ports:
- port: 18789
targetPort: 18789
selector:
app: openclaw
方案 B:On-Premise 배포(데이터不可出엔터프라이즈網路)
┌───────────────── 엔터프라이즈內網 ─────────────────┐
│ │
│ ┌──────────────────────────────────────┐ │
│ │ NemoClaw Platform │ │
│ │ │ │
│ │ ┌──────────┐ ┌─────────────────┐ │ │
│ │ │ Nemotron │ │ OpenClaw Agents │ │ │
│ │ │ (本地LLM)│ │ + OpenShell │ │ │
│ │ │ │ │ │ │ │
│ │ │ DGX H100 │ │ 應用서버 │ │ │
│ │ └──────────┘ └─────────────────┘ │ │
│ │ │ │
│ │ ┌──────────┐ ┌─────────────────┐ │ │
│ │ │ 모니터링系統 │ │ 審計로그系統 │ │ │
│ │ │Prometheus│ │ Splunk / ELK │ │ │
│ │ │ Grafana │ │ │ │ │
│ │ └──────────┘ └─────────────────┘ │ │
│ └──────────────────────────────────────┘ │
│ │
│ ┌────────────┐ ┌──────────────┐ │
│ │ 엔터프라이즈WeChat │ │ AD/LDAP │ │
│ │ (커뮤니케이션管道) │ │ (身份인증) │ │
│ └────────────┘ └──────────────┘ │
└─────────────────────────────────────────────┘
步驟三:安全強化
엔터프라이즈級安全설정:
{
"enterprise": {
"sso": {
"enabled": true,
"provider": "saml",
"metadata_url": "https://idp.company.com/metadata",
"attribute_mapping": {
"email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
"department": "http://schemas.company.com/claims/department"
}
},
"rbac": {
"enabled": true,
"roles": [
{
"name": "admin",
"permissions": ["*"]
},
{
"name": "agent_manager",
"permissions": [
"agent:create", "agent:update", "agent:delete",
"skill:install", "skill:remove"
]
},
{
"name": "user",
"permissions": [
"agent:chat", "agent:view"
]
},
{
"name": "auditor",
"permissions": [
"log:view", "audit:export"
]
}
]
},
"data_loss_prevention": {
"enabled": true,
"rules": [
{
"name": "block_pii",
"pattern": "\\b\\d{3}-\\d{2}-\\d{4}\\b",
"action": "redact",
"description": "偵測並遮蔽社會安全碼"
},
{
"name": "block_credit_card",
"pattern": "\\b\\d{4}[- ]?\\d{4}[- ]?\\d{4}[- ]?\\d{4}\\b",
"action": "block",
"description": "阻擋信用卡號碼傳送"
}
]
},
"encryption": {
"at_rest": {
"enabled": true,
"algorithm": "AES-256-GCM",
"key_management": "vault"
},
"in_transit": {
"tls_version": "1.3",
"cipher_suites": [
"TLS_AES_256_GCM_SHA384",
"TLS_CHACHA20_POLY1305_SHA256"
]
}
}
}
}
步驟四:모니터링與 SLA
{
"monitoring": {
"metrics": {
"enabled": true,
"export": "prometheus",
"endpoint": "/metrics",
"custom_metrics": [
{
"name": "openclaw_agent_response_time_seconds",
"type": "histogram",
"description": "Agent 回應時間"
},
{
"name": "openclaw_llm_api_cost_usd",
"type": "counter",
"description": "LLM API 費用累計"
},
{
"name": "openclaw_skill_execution_total",
"type": "counter",
"description": "Skill 실행次數"
}
]
},
"alerting": {
"rules": [
{
"name": "high_error_rate",
"condition": "error_rate > 5%",
"for": "5m",
"severity": "critical",
"notify": ["ops-team@company.com"]
},
{
"name": "high_latency",
"condition": "p99_response_time > 10s",
"for": "10m",
"severity": "warning"
},
{
"name": "budget_threshold",
"condition": "monthly_llm_cost > $800",
"severity": "warning",
"notify": ["finance@company.com"]
}
]
}
}
}
步驟五:成本估算
| 項目 | 小型배포 (5人) | 中型배포 (50人) | 大型배포 (500人) |
|---|---|---|---|
| VPS / 서버 | $50/月 | $300/月 | $2,000/月 |
| LLM API | $100/月 | $1,000/月 | $10,000/月 |
| Vapi (語音) | $0 | $200/月 | $2,000/月 |
| 모니터링工具 | $0 (自建) | $100/月 | $500/月 |
| NemoClaw 授權 | N/A | 洽詢 NVIDIA | 洽詢 NVIDIA |
| 合計 | ~$150/月 | ~$1,600/月 | ~$14,500/月 |
成本最佳化
- 使用 Claude Haiku 或 GPT-4o mini 處理簡單任務,只在需要時升級到更強的模型
- 설정 API 用量上限,避免失控
- 使用캐시減少重複查詢
- 考慮 on-premise Nemotron 以消除持續性 API 費用(前提是有 NVIDIA GPU)
자주 발생하는 오류
| 問題 | 風險 | 建議 |
|---|---|---|
| 直接使用海外 LLM 處理敏感데이터 | 데이터外洩、컴플라이언스違規 | 評估데이터敏感度,必要時使用 on-premise LLM |
| 所有部門共用同一個 Agent | 데이터交叉汙染 | 實作多租戶隔離 |
| 未설정 API 費用上限 | 帳單爆炸 | 每個租戶설정月度預算上限 |
| 忽略審計로그 | 無法追蹤問題、不符合컴플라이언스 | 啟用全程審計並定期審閱 |
| 過度依賴單一 LLM Provider | 供應商風險 | 설정 fallback provider |
治理架構變更
OpenClaw 創辦人 Steinberger 於 2026 年 2 月加入 OpenAI,專案已轉為基金會治理模式。엔터프라이즈用戶應注意:
- 專案路線圖可能調整
- 商業支援模式可能變更
- 建議關注基金會公告
- 評估是否需要 fork 或商業分支(如 NemoClaw)
문제 해결
NemoClaw 授權問題
# 確認 NemoClaw 授權狀態
nemoclaw license status
# 업데이트授權
nemoclaw license activate --key YOUR_LICENSE_KEY
# 조회功能가용성
nemoclaw features list
多租戶데이터隔離검증
# 검증租戶 A 無法存取租戶 B 的데이터
curl -H "X-Tenant-ID: marketing" \
-H "Authorization: Bearer ${API_KEY}" \
http://127.0.0.1:18789/api/memory/search?q=engineering-data
# 應回傳空結果
# 審計로그查詢
curl -H "Authorization: Bearer ${ADMIN_API_KEY}" \
http://127.0.0.1:18789/api/audit/logs?tenant=marketing&from=2026-03-01
연습 문제
연습 1:評估報告
為你的組織(或模擬組織)完成步驟一的「엔터프라이즈 Agent 배포評估表」,並根據結果選擇適合的架構方案。
연습 2:多租戶설정
設計一個包含 3 個部門(行銷、工程、客服)的多租戶설정,每個部門有不同的 Skill 권한、LLM 模型和預算上限。
연습 3:컴플라이언스문서
為你的 OpenClaw 배포撰寫一份安全白皮書草稿,涵蓋:
- 데이터流向圖
- 存取控制策略
- 암호화方案
- 審計機制
- 事件回應計畫
퀴즈
-
NemoClaw 的三個핵심 컴포넌트是什麼?
- A) Node.js, Express, MongoDB
- B) Nemotron, OpenClaw, OpenShell
- C) Docker, Kubernetes, Helm
- D) GPT-4, Claude, Gemini
정답 확인
B) NemoClaw = Nemotron(NVIDIA 自研 LLM)+ OpenClaw(Agent 框架)+ OpenShell(安全沙箱),由 NVIDIA 於 GTC 2026 發表。 -
為什麼中國國有엔터프라이즈被限制使用 OpenClaw?
- A) 技術不成熟
- B) 데이터安全風險和對外國 LLM 的依賴
- C) 授權費用太高
- D) 不支援中文
정답 확인
B) 主要考量是使用海外 LLM Provider 涉及데이터出境風險,以及對外國技術的戰略依賴。替代方案是使用國產 LLM 搭配 on-premise 배포。 -
OpenShell sandbox 提供哪種層級的隔離?
- A) 僅檔案系統隔離
- B) 檔案系統、網路白名單、程式실행限制、全程審計
- C) 僅網路隔離
- D) 無隔離,僅有로그
정답 확인
B) OpenShell 提供多層隔離:ephemeral 檔案系統、網路白名單、程式실행限制(可실행語言白名單、指令黑名單),以及全程審計로그。 -
엔터프라이즈多租戶架構中,「strict isolation」代表什麼?
- A) 所有租戶共用데이터
- B) 每個租戶的 Agent、Memory、Data 完全隔離,互不可見
- C) 只有管理員계정隔離
- D) 使用不同的 Discord 서버
정답 확인
B) Strict isolation 確保每個租戶的 Agent、記憶데이터、Skill 설정完全獨立,租戶 A 無法存取租戶 B 的任何資源。 -
Jensen Huang 在 GTC 2026 如何평가 NemoClaw?
- A) "A useful tool"
- B) "Probably the single most important release of software ever"
- C) "An interesting experiment"
- D) "A good start"
정답 확인
B) Jensen Huang 稱 NemoClaw 為「可能是史上最重要的軟體배포(probably the single most important release of software ever)」。
다음 단계
- 模組 9: 安全性 — 엔터프라이즈배포的基礎安全설정
- 模組 10: 正式環境배포 — 實際배포技術細節
- 模組 8: 多 Agent 架構 — 엔터프라이즈級多 Agent 協作
- 模組 11: 語音互動 & Live Canvas — 엔터프라이즈語音助手배포