词元之母TOK.MOM - 平台充值汇率 1:1 即 1 人民币充值到账 1 美元,支持一个 Key 调用近 600+ 海内外模型,限时特价模型低至 1 折,欢迎上岸!
"Docker"
Hermes Agent — Docker
1.
2.
/new 和子 agent 之间保持存活,直至 Hermes 进程结束(参见 配置 → Docker 后端)/opt/data 的单个目录中。镜像本身是无状态的,可通过拉取新版本进行升级而不会丢失任何配置。快速开始
mkdir -p ~/.hermes
docker run -it --rm \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent setup~/.hermes/.env。你只需执行一次。强烈建议此时为 gateway 配置一个聊天系统。以 gateway 模式运行
docker run -d \
--name hermes \
--restart unless-stopped \
-v ~/.hermes:/opt/data \
-p 8642:8642 \
nousresearch/hermes-agent gateway runAPI_SERVER_ENABLED=true 才会启用。若要在容器内将其暴露至 127.0.0.1 以外,还需设置 API_SERVER_HOST=0.0.0.0 和 API_SERVER_KEY(最少 8 个字符——可用 openssl rand -hex 32 生成)。示例:docker run -d \
--name hermes \
--restart unless-stopped \
-v ~/.hermes:/opt/data \
-p 8642:8642 \
-e API_SERVER_ENABLED=true \
-e API_SERVER_HOST=0.0.0.0 \
-e API_SERVER_KEY="$(openssl rand -hex 32)" \
-e API_SERVER_CORS_ORIGINS='*' \
nousresearch/hermes-agent gateway run运行 dashboard
HERMES_DASHBOARD=1 可在容器回环地址(127.0.0.1)上默认运行 dashboard:docker run -d \
--name hermes \
--restart unless-stopped \
-v ~/.hermes:/opt/data \
-p 8642:8642 \
-e HERMES_DASHBOARD=1 \
nousresearch/hermes-agent gateway runexec 主命令之前,以非 root 用户 hermes 在后台启动 hermes dashboard。Dashboard 输出在 docker logs 中以 [dashboard] 为前缀,便于与 gateway 日志区分。| 环境变量 | 描述 | 默认值 |
|---|---|---|
HERMES_DASHBOARD | 设为 1(或 true / yes)以在主命令旁启动 dashboard | (未设置——不启动 dashboard) |
HERMES_DASHBOARD_HOST | dashboard HTTP 服务器的绑定地址 | 127.0.0.1 |
HERMES_DASHBOARD_PORT | dashboard HTTP 服务器的端口 | 9119 |
HERMES_DASHBOARD_TUI | 设为 1 以启用浏览器内 Chat 标签页(通过 PTY/WebSocket 嵌入 hermes --tui) | (未设置) |
HERMES_DASHBOARD_INSECURE | 设为 1(或 true / yes)以在不启用 OAuth 鉴权门控的情况下绑定。仅在可信网络(且通过没有 OAuth 契约的反向代理时)使用——dashboard 会暴露 API 密钥与会话数据 | (未设置——当注册了 DashboardAuthProvider 时启用门控) |
127.0.0.1),以避免将Web 界面暴露到网络。若要有意发布,请设置
HERMES_DASHBOARD_HOST=0.0.0.0。当以下两项同时满足时,dashboard 的 OAuth 鉴权门控会自动启用:
1.
2.
DashboardAuthProvider 插件。dashboard_auth/nous 提供者会在设置HERMES_DASHBOARD_OAUTH_CLIENT_ID 时自动激活(参见Web Dashboard → 鉴权)。门控启用后,
浏览器调用方会先被重定向到所配置门户的 OAuth 流,然后才能
访问任何受保护路由。
失败关闭,并给出指向缺失环境变量的具体错误信息。要显式
退出门控——用于不使用 OAuth 契约、通过你自己的反向代理部署
在可信局域网中的场景——请设置
HERMES_DASHBOARD_INSECURE=1。这会恢复旧的“无鉴权,但发出告警”模式,也是唯一可以禁用门控的
路径;绑定地址不再隐式决定
--insecure。备注
dashboard 进程崩溃,s6-overlay 会在短暂退避后自动
重启它——你会看到新的 PID,无需重启容器。日志和崩溃输出可通过
docker logs <container> 查看(s6 将服务的 stdout/stderr 转发至此)。gateway 存活检测需要与 gateway 进程共享 PID 命名空间。
交互式运行(CLI 聊天)
docker run -it --rm \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent/opt/hermes/.venv/bin/hermes持久化卷
/opt/data 卷是所有 Hermes 状态的唯一数据来源。它映射到宿主机的 ~/.hermes/ 目录,包含:| 路径 | 内容 |
|---|---|
.env | API 密钥和机密 |
config.yaml | 所有 Hermes 配置 |
SOUL.md | Agent 个性/身份 |
sessions/ | 对话历史 |
memories/ | 持久化记忆存储 |
skills/ | 已安装的技能 |
cron/ | 定时任务定义 |
hooks/ | 事件 hook |
logs/ | 运行时日志 |
skins/ | 自定义 CLI 皮肤 |
警告
多 profile 支持
~/.hermes/ 目录,让你可以从单个安装运行独立的 agent(不同的 SOUL、技能、记忆、会话、凭据)。在 Docker 下运行时,不建议使用 Hermes 内置的多 profile 功能。/opt/data:# 工作 profile
docker run -d \
--name hermes-work \
--restart unless-stopped \
-v ~/.hermes-work:/opt/data \
-p 8642:8642 \
nousresearch/hermes-agent gateway run
# 个人 profile
docker run -d \
--name hermes-personal \
--restart unless-stopped \
-v ~/.hermes-personal:/opt/data \
-p 8643:8642 \
nousresearch/hermes-agent gateway rundocker restart hermes-work 不会影响 hermes-personal)。--profile 标志。container_name、volumes 和 ports:环境变量转发
/opt/data/.env 读取。你也可以直接传递环境变量:docker run -it --rm \
-v ~/.hermes:/opt/data \
-e ANTHROPIC_API_KEY="sk-ant-..." \
-e OPENAI_API_KEY="sk-..." \
nousresearch/hermes-agent-e 标志会覆盖 .env 中的值。这对于不希望将密钥写入磁盘的 CI/CD 或密钥管理器集成非常有用。本页介绍在 Docker 内运行 Hermes 本身。如果你希望 Hermes 在 Docker 沙箱容器内执行 agent 的
terminal / execute_code 调用(每个 Hermes 进程对应一个持久容器),那是另一个配置块——terminal.backend: docker 加上 terminal.docker_image、terminal.docker_volumes、terminal.docker_forward_env、terminal.docker_run_as_host_user 和 terminal.docker_extra_args。完整配置请参见 配置 → Docker 后端。:::
Docker Compose 示例
docker-compose.yaml 更为方便:docker compose up -d 启动,使用 docker compose logs -f 查看日��志。Dashboard 输出以 [dashboard] 为前缀,便于从 gateway 日志中过滤。资源限制
| 资源 | 最低 | 推荐 |
|---|---|---|
| 内存 | 1 GB | 2–4 GB |
| CPU | 1 核 | 2 核 |
| 磁盘(数据卷) | 500 MB | 2+ GB(随会话/技能增长) |
docker run -d \
--name hermes \
--restart unless-stopped \
--memory=4g --cpus=2 \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent gateway runDockerfile 说明
debian:13.4,包含:uv pip install -e ".[all]")npx playwright install --with-deps chromium --only-shell)xz-utils 作为系统工具docker-cli — 使容器内运行的 agent 可以驱动宿主机的 Docker 守护进程(绑定挂载 /var/run/docker.sock 以启用),用于 docker build、docker run、容器检查等操作openssh-client — 从容器内启用 SSH 终端后端。SSH 后端调用系统 ssh 二进制文件;若缺少此组件,在容器化安装中会静默失败scripts/whatsapp-bridge/��)s6-overlay v3 作为 PID 1(替代旧版 tini)——监管 dashboard 和各 profile gateway,崩溃后自动重启,回收僵尸子进程,并转发信号ENTRYPOINT 是 s6-overlay 的 /init。启动时:1.
/etc/cont-init.d/01-hermes-setup(即 docker/stage2-hook.sh):可选的 UID/GID 重映射、修复卷所有权、首次启动时初始化 .env / config.yaml / SOUL.md、同步内置技能。2.
/etc/cont-init.d/02-reconcile-profiles(即 hermes_cli.container_boot):遍历 $HERMES_HOME/profiles/<name>/,在 /run/service/gateway-<profile>/ 下重建各 profile 的 gateway s6 服务槽,并仅自动启动上次记录状态为 running 的 profile(参见 Per-profile gateway 监管)。3.
main-hermes 和 dashboard s6-rc 服务。4.
/opt/hermes/docker/main-wrapper.sh),根据用户传给 docker run 的参数进行路由:hermes(默认)sleep、bash)→ 直接 exechermes <args>(子命令透传)主程序退出时容器退出,并使用其退出码。
与 pre-s6 镜像的破坏性变更
/init(s6-overlay),而非 /usr/bin/tini。所有五种已记录的 docker run 调用模式(无参数、chat -q "…"、sleep infinity、bash、--tui)的行为与基于 tini 的镜像完全相同。如果你有依赖 tini 特定信号行为或硬编码 /usr/bin/tini -- 调用的下游封装,请固定到之前的镜像标签。权限模型
/init(或等效的旧版 docker/entrypoint.sh shim,它会转发到 stage2 hook),否则不要覆盖镜像入口点。s6-overlay 的 /init 以 root 运行,以便在首次启动时对卷执行 chown,然后通过 s6-setuidgid 为每个受监管的服务以及主程序降权至 hermes 用户。在官方镜像内以 root 启动 hermes gateway run 默认会被拒绝,因为这可能在 /opt/data 中留下 root 所有的文件,导致后续 dashboard 或 gateway 启动失败。仅在你有意接受该风险时才设置 HERMES_ALLOW_ROOT_GATEWAY=1。Per-profile gateway 监管
hermes profile create <name> 创建的 profile 都会自动在 /run/service/gateway-<name>/ 注册一个受 s6 监管的 gateway 服务。你在宿主机上运行的生命周期命令在此同样适用:hermes profile create coder # 注册 gateway-coder s6 槽
hermes -p coder gateway start # s6-svc -u → 受监管的 gateway
hermes -p coder gateway stop # s6-svc -d → 服务停止
hermes -p coder gateway restart # s6-svc -t → 向 supervisor 发送 SIGTERM
hermes profile delete coder # 拆除 s6 槽s6-supervise 在约 1 秒退避后自动重启。HERMES_DASHBOARD=1 以启动)。docker restart 保留运行中的 gateway:cont-init 协调器读取 $HERMES_HOME/profiles/<name>/gateway_state.json,若上次记录状态为 running 则恢复该槽。已停止的 gateway 保持停止状态。$HERMES_HOME/logs/gateways/<profile>/current(由 s6-log 轮转),协调器的操作记录在每次启动时追加到 $HERMES_HOME/logs/container-boot.log。hermes status 会显示 Manager: s6 (container supervisor)。使用 /command/s6-svstat /run/service/gateway-<name> 查看原始 supervisor 状态(注意 /command/ 仅在监管树进程的 PATH 中;从 docker exec 调用时请传入绝对路径)。升级
docker pull nousresearch/hermes-agent:latest
docker rm -f hermes
docker run -d \
--name hermes \
--restart unless-stopped \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent gateway rundocker compose pull
docker compose up -d技能与凭据文件
~/.hermes/skills/)和技能声明的所有凭据文件以只读卷的形式绑定挂载到该容器中。技能脚本、模板和引用在沙箱内无需手动配置即可使用,由于容器在 Hermes 进程的整个生命周期内持续存在,你安装的任何依赖或写入的文件都会在下次工具调用时保留。在容器中安装更多工具
npm 或 Python 工具——使用 npx 或 uvx
npx(npm)或 uvx(Python)运行,并将该命令记入其持久记忆。如果工具需要配置文件或凭据,指示其将这些文件放在 /opt/data 下(如 /opt/data/<tool>/config.yaml)。/opt/data 的配置在容器重启后仍然存在,因为它位于绑定挂载的宿主机目录上。包缓存本身在 docker rm 后会重建,但 npx 和 uvx 会在下次运行工具时透明地重新获取。其他工具(apt 包、二进制文件)——安装并记住
apt 包、预构建二进制文件、镜像中未包含的语言运行时——指示 Hermes 如何安装(如 apt-get update && apt-get install -y <package>),并告知它记住该安装命令。工具在容器剩余生命周期内持续可用,Hermes 在容器重启后下次需要该工具时会重新运行安装命令。持久安装——构建派生镜像
nousresearch/hermes-agent 并在层中安装该工具的新镜像:docker build -t my-hermes:latest .
docker run -d \
--name hermes \
--restart unless-stopped \
-v ~/.hermes:/opt/data \
-p 8642:8642 \
my-hermes:latest gateway run/opt/data 语义原样继承,本页其余内容仍然适用。拉取更新的上游 nousresearch/hermes-agent 时记得重新构建镜像。复杂工具或多服务栈——运行 sidecar 容器
http://my-tool:<port> 访问(或其提供的任何协议)。这种模式使每个服务的生命周期、资源限制和升级节奏保持独立,避免因单个工具的依赖而使 Hermes 镜像臃肿。广泛有用的工具——提交 issue 或 pull request
连接本地推理服务器(vLLM、Ollama 等)
Docker Compose(推荐)
~/.hermes/config.yaml 中,使用容器名称作为主机名:关键点
vllm)作为主机名——而非 localhost 或 127.0.0.1,它们指向 Hermes 容器本身。model 值必须与传给 vLLM 的 --served-model-name 一致。api_key 设为任意非空字符串(vLLM 要求该请求头,但默认不验证其值)。base_url 末尾不要加斜杠。独立 Docker run(无 Compose)
host.docker.internal,在 Linux 上使用 --network host:docker run -d \
--name hermes \
-v ~/.hermes:/opt/data \
-p 8642:8642 \
nousresearch/hermes-agent gateway rundocker run -d \
--name hermes \
--network host \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent gateway run--network host 时,-p 标志会被忽略——所有容器端口直接暴露在宿主机上。:::
验证连通性
docker exec hermes curl -s http://vllm:8000/v1/models1.
docker network inspect hermes-net)2.
0.0.0.0 而非 127.0.0.13.
Ollama
host.docker.internal:11434(macOS/Windows)或 127.0.0.1:11434(Linux 使用 --network host)。如果 Ollama 在同一 Docker 网络的独立容器中运行:故障排查
容器立即退出
docker logs hermes。常见原因:.env 文件缺失或无效——先以交互方式运行以完成设置"Permission denied" 错误
s6-setuidgid 在每个受监管的服务内将权限降至非 root 用户 hermes(UID 10000)。如果宿主机的 ~/.hermes/ 由不同 UID 拥有,请设置 HERMES_UID/HERMES_GID 以匹配宿主机用户,或确保数据目录可写:chmod -R 755 ~/.hermes浏览器工具无法使用
--shm-size=1g:docker run -d \
--name hermes \
--shm-size=1g \
-v ~/.hermes:/opt/data \
nousresearch/hermes-agent gateway run网络问题后 gateway 无法重连
--restart unless-stopped 标志可处理大多数瞬时故障。如果 gateway 卡住,重启容器:docker restart hermes检查容器健康状态
docker logs --tail 50 hermes # 最近日志
docker run -it --rm nousresearch/hermes-agent:latest version # 验证版本
docker stats hermes # 资源使用情况修改于 2026-05-31 00:25:01