arrow_back Zurück zum Blog
tutorial dgx-spark getting-started deployment

Erste Schritte mit NemoClaw auf DGX Spark

NVIDIA AI

NVIDIA AI

@nvidiaai

March 20, 2026

10 Min.

Erste Schritte mit NemoClaw auf DGX Spark

Erste Schritte mit NemoClaw auf DGX Spark

Der NVIDIA DGX Spark ist die ideale Entwicklungsplattform für NemoClaw. Mit seiner Grace-Blackwell-Architektur, die 128 GB einheitlichen Speicher und bis zu 1 Petaflop KI-Rechenleistung bietet, kann ein einzelner DGX Spark den gesamten NemoClaw-Stack — einschließlich Nemotron 120B MoE — lokal auf Ihrem Schreibtisch ausführen.

Dieses Tutorial führt Sie durch den vollständigen Einrichtungsprozess, vom Auspacken bis zur Ausführung Ihres ersten gesicherten Agenten-Blueprints.

Voraussetzungen

  • NVIDIA DGX Spark (oder ein beliebiges System mit einer NVIDIA GPU mit 24 GB+ VRAM für das quantisierte Modell)
  • Ubuntu 22.04 LTS oder neuer (DGX OS ist auf Spark vorinstalliert)
  • Docker 24.0+ mit NVIDIA Container Toolkit
  • 50 GB freier Festplattenspeicher für Modelle und Container

Schritt 1: NemoClaw CLI installieren

Das NemoClaw CLI ist die primäre Schnittstelle zur Verwaltung des Stacks. Installieren Sie es über den offiziellen Installer:

bash
# Download and run the NemoClaw installer
curl -fsSL https://github.com/NVIDIA/NemoClaw | bash

# Verify installation
nemoclaw version
# Output: nemoclaw v1.0.0-preview (built for linux/arm64)

# Initialize NemoClaw in your project directory
mkdir my-first-agent && cd my-first-agent
nemoclaw init

Der Befehl nemoclaw init erstellt das Projektgerüst:

my-first-agent/
├── nemoclaw.yaml          # Main configuration
├── policies/
│   ├── sandbox.yaml       # OpenShell sandbox policies
│   ├── network.yaml       # Network access policies
│   └── privacy.yaml       # Privacy Router configuration
├── blueprints/
│   └── starter.yaml       # Default agent blueprint
└── scripts/
    ├── setup.sh           # Environment setup script
    └── test-agent.sh      # Agent smoke test

Schritt 2: Stack konfigurieren

Bearbeiten Sie nemoclaw.yaml, um Ihre Bereitstellung zu konfigurieren:

yaml
# nemoclaw.yaml
apiVersion: nemoclaw.nvidia.com/v1
kind: NemoClawConfig
metadata:
  name: my-first-deployment
spec:
  # Model configuration
  model:
    provider: local
    name: nemotron-120b-moe
    quantization: int4  # Use INT4 for DGX Spark
    gpuLayers: all

  # OpenShell configuration
  openshell:
    enabled: true
    isolationLevel: standard  # standard | strict | paranoid
    auditLog: true

  # Privacy Router configuration
  privacyRouter:
    enabled: true
    defaultRoute: local
    cloudEndpoints: []  # No cloud endpoints for local-only setup

  # Network Policy Engine
  networkPolicy:
    enabled: true
    defaultAction: deny
    allowlist:
      - "*.internal.company.com"

  # Agent configuration
  agent:
    framework: openclaw
    version: "3.13"
    maxConcurrentTasks: 8

Schritt 3: Nemotron-Modell herunterladen

NemoClaw verwendet Nemotron 120B MoE als Richtlinienbewertungs-Engine. Auf dem DGX Spark verwenden wir die INT4-quantisierte Variante, die bequem in den 128 GB einheitlichen Speicher passt:

bash
# Pull the Nemotron model (approximately 35GB)
nemoclaw model pull nemotron-120b-moe-int4

# Verify the model is ready
nemoclaw model list
# Output:
# NAME                        SIZE     STATUS
# nemotron-120b-moe-int4      34.7GB   ready

Für Systeme mit weniger Speicher unterstützt NemoClaw auch kleinere Modelle:

bash
# Alternative: Nemotron 8B for systems with 24GB VRAM
nemoclaw model pull nemotron-nano-4b

Schritt 4: NemoClaw-Laufzeitumgebung starten

Starten Sie den gesamten Stack mit einem einzigen Befehl:

bash
# Start all NemoClaw services
nemoclaw up

# Output:
# ✓ OpenShell runtime started (kernel modules loaded)
# ✓ Nemotron 120B MoE loaded (34.7GB, 4-bit quantized)
# ✓ Privacy Router initialized (local-only mode)
# ✓ Network Policy Engine active (deny-by-default)
# ✓ OpenClaw agent framework ready
#
# NemoClaw is running at http://localhost:7860
# Dashboard: http://localhost:7860/dashboard
# API: http://localhost:7860/api/v1

Das Dashboard bietet Echtzeit-Einblick in die Agentenausführung, Richtlinienbewertungen und Sicherheitsereignisse.

Schritt 5: Ihren ersten Blueprint bereitstellen

Blueprints sind vorkonfigurierte Agentenvorlagen mit integrierten Sicherheitsrichtlinien. Lassen Sie uns den Kundensupport-Blueprint bereitstellen:

bash
# List available blueprints
nemoclaw blueprint list
# Output:
# NAME                  DESCRIPTION                          SECURITY LEVEL
# customer-support      Tier-1 support ticket handling       standard
# sales-ops            CRM and sales automation              standard
# security-ops         Alert triage and remediation           strict
# infra-management     Cloud resource management              strict
# code-review          PR analysis and vulnerability scan     standard
# data-pipeline        ETL orchestration                      standard

# Deploy the customer support blueprint
nemoclaw blueprint deploy customer-support
  • OpenShell-Sandbox-Richtlinie (schränkt Dateisystem- und Netzwerkzugang ein)
  • Nemotron-Richtlinienregeln (PII-Erkennung, Absichtsklassifikation)
  • Netzwerk-Erlaubnisliste (nur genehmigte API-Endpunkte)
  • Operator-Genehmigungsworkflow (Eskalation bei Erstattungen, Kontoänderungen)

Schritt 6: Ihren Agenten testen

Senden Sie eine Testanfrage an Ihren gesicherten Agenten:

bash
# Send a test message to the agent
nemoclaw agent test --blueprint customer-support \
  --message "Customer John Smith (ID: 12345) is asking about their recent order #ORD-9876. They want to know the delivery status."

# Output:
# ┌──────────────────────────────────────────────┐
# │ NemoClaw Security Report                      │
# ├──────────────────────────────────────────────┤
# │ Policy Evaluation:     PASS (45ms)            │
# │ Intent Classification: customer-inquiry       │
# │ Data Sensitivity:      internal               │
# │ Model Route:           local (nemotron-120b)  │
# │ Sandbox:               cs-agent-sandbox-001   │
# │ Network Access:        crm.api, orders.api    │
# │ PII Detected:          name, customer-id      │
# │ PII Action:            redacted-from-logs     │
# │ Approval Required:     no                     │
# ├──────────────────────────────────────────────┤
# │ Agent Response:                                │
# │ "I've checked order #ORD-9876 for the         │
# │  customer. The order shipped on March 18       │
# │  via FedEx (tracking: FX123456789). Expected  │
# │  delivery is March 21."                        │
# └──────────────────────────────────────────────┘
  • Die Absicht als routinemäßige Kundenanfrage klassifiziert hat
  • PII (Kundenname und ID) erkannt und aus den Logs geschwärzt hat
  • Die Anfrage an das lokale Nemotron-Modell weitergeleitet hat
  • Netzwerkzugang nur für die CRM- und Bestell-APIs gewährt hat
  • Festgestellt hat, dass keine menschliche Genehmigung erforderlich war

Schritt 7: Überwachung mit dem Dashboard

Öffnen Sie http://localhost:7860/dashboard in Ihrem Browser, um auf das NemoClaw-Überwachungsdashboard zuzugreifen. Wichtige Funktionen umfassen:

  • Echtzeit-Ereignisstream — jede Agentenaktion, Richtlinienbewertung und Sicherheitsentscheidung
  • Richtlinienverletzungs-Warnungen — sofortige Benachrichtigung, wenn ein Agent nicht autorisierte Aktionen versucht
  • Audit-Log — vollständige, unveränderliche Aufzeichnung aller Agentenaktivitäten
  • Leistungsmetriken — Latenz, Durchsatz und Ressourcenauslastung
  • Genehmigungswarteschlange — ausstehende menschliche Genehmigungsanfragen für Hochrisiko-Aktionen

Häufige Konfigurationsmuster

Verbindung zu externen APIs

Um Ihrem Agenten den Zugriff auf externe Dienste zu ermöglichen, aktualisieren Sie die Netzwerkrichtlinie:

yaml
# policies/network.yaml
networkPolicy:
  egress:
    allow:
      - domain: "api.zendesk.com"
        methods: [GET, POST, PUT]
        headers:
          required: ["Authorization"]
      - domain: "api.stripe.com"
        methods: [GET]  # Read-only access to payment data

Operator-Genehmigung konfigurieren

Richten Sie Genehmigungsworkflows für sensible Operationen ein:

yaml
# policies/sandbox.yaml
approvalWorkflow:
  enabled: true
  rules:
    - action: "refund.process"
      condition: "amount > 100"
      approvers: ["support-leads"]
      channel: "slack"
      timeout: "10m"
    - action: "account.modify"
      condition: "always"
      approvers: ["account-managers"]
      channel: "teams"
      timeout: "15m"

Cloud-Modell-Routing aktivieren

Für nicht-sensible Aufgaben können Sie Cloud-Modell-Routing für bessere Leistung aktivieren:

yaml
# policies/privacy.yaml
privacyRouter:
  defaultRoute: local
  cloudEndpoints:
    - name: "nvidia-nim"
      url: "https://build.nvidia.com"
      apiKey: "${NVIDIA_API_KEY}"
      allowedSensitivity: ["public", "internal"]

Fehlerbehebung

OpenShell-Kernelmodul lässt sich nicht laden

bash
# Check kernel module status
nemoclaw diagnose openshell

# If using a custom kernel, ensure eBPF is enabled
# and the kernel version is 5.15+

Modell-Laden — Speicher nicht ausreichend

bash
# Check available GPU memory
nemoclaw diagnose gpu

# Switch to a smaller quantization or model
nemoclaw model pull nemotron-120b-moe-int2  # Smaller but less accurate
nemoclaw model pull nemotron-nano-4b  # Much smaller

Nächste Schritte

Sie haben nun eine voll funktionsfähige NemoClaw-Bereitstellung auf Ihrem DGX Spark. Von hier aus können Sie:

  1. 1.Sicherheitsrichtlinien für Ihren spezifischen Anwendungsfall anpassen
  2. 2.Benutzerdefinierte Blueprints für die Agenten-Workflows Ihrer Organisation erstellen
  3. 3.Integration mit Ihren bestehenden SIEM- und Observability-Tools
  4. 4.Skalierung auf Multi-Node-Bereitstellung mit dem NemoClaw-Cluster-Modus

Lesen Sie den nächsten Beitrag in dieser Serie für einen tiefen Einblick in OpenShells Sicherheitslaufzeitumgebung.

arrow_back

Vorheriger

NemoClaw Architektur im Detail

Nächster

OpenShell: Die Sicherheitslaufzeitumgebung hinter NemoClaw

arrow_forward
Teilen auf:
star Star on GitHub

Auf dem Laufenden bleiben

Updates zu NemoClaw-Releases, Sicherheitshinweisen und Ecosystem-News. Kein Spam, jederzeit abbestellbar.