Aan de slag met NemoClaw op DGX Spark
De NVIDIA DGX Spark is het ideale ontwikkelplatform voor NemoClaw. Met zijn Grace Blackwell-architectuur die 128 GB uniform geheugen en tot 1 petaflop AI-rekenkracht biedt, kan een enkele DGX Spark de volledige NemoClaw-stack draaien — inclusief Nemotron 120B MoE — lokaal op uw bureau.
Deze tutorial leidt u door het volledige installatieproces, van het uitpakken tot het draaien van uw eerste beveiligde agent-blueprint.
Vereisten
- •NVIDIA DGX Spark (of elk systeem met een NVIDIA GPU met 24 GB+ VRAM voor het gekwantiseerde model)
- •Ubuntu 22.04 LTS of nieuwer (DGX OS is vooraf geïnstalleerd op Spark)
- •Docker 24.0+ met NVIDIA Container Toolkit
- •50 GB vrije schijfruimte voor modellen en containers
Stap 1: De NemoClaw CLI installeren
De NemoClaw CLI is de primaire interface voor het beheren van de stack. Installeer deze via de officiële installer:
# Download and run the NemoClaw installer
curl -fsSL https://github.com/NVIDIA/NemoClaw | bash
# Verify installation
nemoclaw version
# Output: nemoclaw v1.0.0-preview (built for linux/arm64)
# Initialize NemoClaw in your project directory
mkdir my-first-agent && cd my-first-agent
nemoclaw init
Het nemoclaw init-commando creëert de projectstructuur:
my-first-agent/
├── nemoclaw.yaml # Main configuration
├── policies/
│ ├── sandbox.yaml # OpenShell sandbox policies
│ ├── network.yaml # Network access policies
│ └── privacy.yaml # Privacy Router configuration
├── blueprints/
│ └── starter.yaml # Default agent blueprint
└── scripts/
├── setup.sh # Environment setup script
└── test-agent.sh # Agent smoke test
Stap 2: De stack configureren
Bewerk nemoclaw.yaml om uw implementatie te configureren:
# nemoclaw.yaml
apiVersion: nemoclaw.nvidia.com/v1
kind: NemoClawConfig
metadata:
name: my-first-deployment
spec:
# Model configuration
model:
provider: local
name: nemotron-120b-moe
quantization: int4 # Use INT4 for DGX Spark
gpuLayers: all
# OpenShell configuration
openshell:
enabled: true
isolationLevel: standard # standard | strict | paranoid
auditLog: true
# Privacy Router configuration
privacyRouter:
enabled: true
defaultRoute: local
cloudEndpoints: [] # No cloud endpoints for local-only setup
# Network Policy Engine
networkPolicy:
enabled: true
defaultAction: deny
allowlist:
- "*.internal.company.com"
# Agent configuration
agent:
framework: openclaw
version: "3.13"
maxConcurrentTasks: 8
Stap 3: Het Nemotron-model ophalen
NemoClaw gebruikt Nemotron 120B MoE als beleidsevaluatie-engine. Op DGX Spark gebruiken we de INT4-gekwantiseerde variant die comfortabel past in het 128 GB uniforme geheugen:
# Pull the Nemotron model (approximately 35GB)
nemoclaw model pull nemotron-120b-moe-int4
# Verify the model is ready
nemoclaw model list
# Output:
# NAME SIZE STATUS
# nemotron-120b-moe-int4 34.7GB ready
Voor systemen met minder geheugen ondersteunt NemoClaw ook kleinere modellen:
# Alternative: Nemotron 8B for systems with 24GB VRAM
nemoclaw model pull nemotron-nano-4b
Stap 4: De NemoClaw-runtime starten
Start de volledige stack met één commando:
# Start all NemoClaw services
nemoclaw up
# Output:
# ✓ OpenShell runtime started (kernel modules loaded)
# ✓ Nemotron 120B MoE loaded (34.7GB, 4-bit quantized)
# ✓ Privacy Router initialized (local-only mode)
# ✓ Network Policy Engine active (deny-by-default)
# ✓ OpenClaw agent framework ready
#
# NemoClaw is running at http://localhost:7860
# Dashboard: http://localhost:7860/dashboard
# API: http://localhost:7860/api/v1
Het dashboard biedt realtime zichtbaarheid in agentuitvoering, beleidsevaluaties en beveiligingsgebeurtenissen.
Stap 5: Uw eerste blueprint implementeren
Blueprints zijn voorgeconfigureerde agentsjablonen met ingebouwd beveiligingsbeleid. Laten we de klantenservice-blueprint implementeren:
# List available blueprints
nemoclaw blueprint list
# Output:
# NAME DESCRIPTION SECURITY LEVEL
# customer-support Tier-1 support ticket handling standard
# sales-ops CRM and sales automation standard
# security-ops Alert triage and remediation strict
# infra-management Cloud resource management strict
# code-review PR analysis and vulnerability scan standard
# data-pipeline ETL orchestration standard
# Deploy the customer support blueprint
nemoclaw blueprint deploy customer-support
- •OpenShell sandbox-beleid (beperkt bestandssysteem- en netwerktoegang)
- •Nemotron-beleidsregels (PII-detectie, intentclassificatie)
- •Netwerk-allowlist (alleen goedgekeurde API-eindpunten)
- •Operator-goedkeuringsworkflow (escalatie voor terugbetalingen, accountwijzigingen)
Stap 6: Uw agent testen
Stuur een testverzoek naar uw beveiligde agent:
# Send a test message to the agent
nemoclaw agent test --blueprint customer-support \
--message "Customer John Smith (ID: 12345) is asking about their recent order #ORD-9876. They want to know the delivery status."
# Output:
# ┌──────────────────────────────────────────────┐
# │ NemoClaw Security Report │
# ├──────────────────────────────────────────────┤
# │ Policy Evaluation: PASS (45ms) │
# │ Intent Classification: customer-inquiry │
# │ Data Sensitivity: internal │
# │ Model Route: local (nemotron-120b) │
# │ Sandbox: cs-agent-sandbox-001 │
# │ Network Access: crm.api, orders.api │
# │ PII Detected: name, customer-id │
# │ PII Action: redacted-from-logs │
# │ Approval Required: no │
# ├──────────────────────────────────────────────┤
# │ Agent Response: │
# │ "I've checked order #ORD-9876 for the │
# │ customer. The order shipped on March 18 │
# │ via FedEx (tracking: FX123456789). Expected │
# │ delivery is March 21." │
# └──────────────────────────────────────────────┘
- •De intentie classificeerde als een routinematige klantenvraag
- •PII (klantnaam en ID) detecteerde en anonimiseerde in de logs
- •Het verzoek routeerde naar het lokale Nemotron-model
- •Netwerktoegang alleen verleende aan de CRM- en bestelling-API's
- •Vaststelde dat geen menselijke goedkeuring nodig was
Stap 7: Monitoren met het dashboard
Open http://localhost:7860/dashboard in uw browser om toegang te krijgen tot het NemoClaw-monitoringdashboard. Belangrijke functies zijn:
- •Realtime gebeurtenissenstream — elke agentactie, beleidsevaluatie en beveiligingsbeslissing
- •Beleidsschendingswaarschuwingen — directe melding wanneer een agent ongeautoriseerde acties probeert
- •Auditlog — volledig, onveranderlijk overzicht van alle agentactiviteiten
- •Prestatiemetrieken — latentie, doorvoer en resourcegebruik
- •Goedkeuringswachtrij — openstaande menselijke goedkeuringsverzoeken voor acties met hoog risico
Veelvoorkomende configuratiepatronen
Verbinden met externe API's
Om uw agent toegang te geven tot externe diensten, werk het netwerkbeleid bij:
# policies/network.yaml
networkPolicy:
egress:
allow:
- domain: "api.zendesk.com"
methods: [GET, POST, PUT]
headers:
required: ["Authorization"]
- domain: "api.stripe.com"
methods: [GET] # Read-only access to payment data
Operator-goedkeuring configureren
Stel goedkeuringsworkflows in voor gevoelige operaties:
# policies/sandbox.yaml
approvalWorkflow:
enabled: true
rules:
- action: "refund.process"
condition: "amount > 100"
approvers: ["support-leads"]
channel: "slack"
timeout: "10m"
- action: "account.modify"
condition: "always"
approvers: ["account-managers"]
channel: "teams"
timeout: "15m"
Cloud-modelroutering inschakelen
Voor niet-gevoelige taken kunt u cloud-modelroutering inschakelen voor betere prestaties:
# policies/privacy.yaml
privacyRouter:
defaultRoute: local
cloudEndpoints:
- name: "nvidia-nim"
url: "https://build.nvidia.com"
apiKey: "${NVIDIA_API_KEY}"
allowedSensitivity: ["public", "internal"]
Probleemoplossing
OpenShell-kernelmodule kan niet worden geladen
# Check kernel module status
nemoclaw diagnose openshell
# If using a custom kernel, ensure eBPF is enabled
# and the kernel version is 5.15+
Model laden — onvoldoende geheugen
# Check available GPU memory
nemoclaw diagnose gpu
# Switch to a smaller quantization or model
nemoclaw model pull nemotron-120b-moe-int2 # Smaller but less accurate
nemoclaw model pull nemotron-nano-4b # Much smaller
Volgende stappen
U heeft nu een volledig operationele NemoClaw-implementatie op uw DGX Spark. Vanaf hier kunt u:
- 1.Beveiligingsbeleid aanpassen voor uw specifieke gebruikscasus
- 2.Aangepaste blueprints bouwen voor de agentworkflows van uw organisatie
- 3.Integreren met uw bestaande SIEM- en observability-tools
- 4.Opschalen naar multi-node implementatie met NemoClaw Cluster-modus
Bekijk het volgende artikel in deze serie voor een diepe duik in OpenShell's beveiligingsruntime.