🟡 🤝 Agenti Objavljeno: · 4 min čitanja ·

AWS objavljuje serverless A2A gateway koji zamjenjuje 190 point-to-point veza središnjim registrom

Editorial ilustracija: AWS serverless gateway za komunikaciju agent-do-agent i otkrivanje ruta

Amazon Web Services objavio je referentnu serverless arhitekturu za A2A gateway koji centralizira otkrivanje, usmjeravanje i kontrolu pristupa između AI agenata. Dvadeset agenata bez koordinacije stvara do 190 međusobnih veza — gateway to svodi na jednu ulaznu točku.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

Kako broj AI agenata u poduzeću raste, raste i operativni kaos koji nastaje bez središnje koordinacije. Amazon Web Services objavio je otvorenu referentnu arhitekturu serverless A2A gatewaya koji rješava taj problem na razini infrastrukture.

Zašto rastući broj agenata stvara problem povezivanja?

Problem je jednostavan za opisati, ali ozbiljan u praksi. Svaka direktna veza između dva agenta zahtijeva vlastitu autentifikaciju, vlastitu logiku rutiranja i vlastitu kontrolu pristupa. Uz N agenata, maksimalni broj takvih point-to-point veza iznosi N×(N−1)/2.

Za 10 agenata to je 45 veza. Za 20 agenata — situacija koja nije neuobičajena u enterprise deploymentu — sustav može zahtijevati do 190 direktnih veza. Svaka nosi vlastite kredencijale koji se moraju rotirati, vlastitu logiku za obradu grešaka i vlastiti kod za autorizaciju. Fragmentacija postaje toliko složena da dodavanje novog agenta postaje projekt za sebe.

A2A gateway to svodi na jednu ulaznu točku.

Troslojna arhitektura

Upravljački sloj

Management sloj drži centralni registar agenata i omogućuje njihovo otkrivanje. Svaki agent registrira se jednom, a gateway automatski generira i kešira agent-card.json dostupan na standardiziranoj putanji GET /agents/{agentId}/.well-known/agent-card.json. URL-ovi u kartici prepisuju se na gateway domenu, tako da klijenti nikad ne komuniciraju izravno s backendima.

Otkrivanje agenata funkcionira na dva načina: točnim podudaranjem naziva ili semantičkom pretragom prirodnim jezikom. Opisi agenata indeksirani su pomoću Amazon Bedrock Titan Text Embeddings i pohranjeni u Amazon S3 Vectors. Klijent može poslati upit poput „agent koji analizira ugovore na hrvatskom” i dobiti popis semantički relevantnih agenata bez poznavanja točnih naziva.

Kontrolni sloj

Control sloj upravlja autorizacijom i ograničenjima stope poziva. Autentifikacija temelji se na OAuth 2.0 client credentials toku kroz Amazon Cognito — klijent dobiva JWT token koji sadržava scope-ove vezane uz konkretne agente kojima smije pristupiti.

Lambda autorizator evaluira JWT scope-ove pri svakom zahtjevu. Rate limiting se primjenjuje po kombinaciji korisnik-agent i implementiran je atomskim brojačima u Amazon DynamoDB — što znači da čak i paralelni zahtjevi ne mogu zaobići limit zahvaljujući DynamoDB-ovim atomskim operacijama.

Izvršni sloj

Execution sloj je proxy koji prima autorizirani zahtjev, dohvaća backend kredencijale iz AWS Secrets Manager, autentificira se prema ciljnom agentu i prosljeđuje odgovor klijentu. Podržano je i Server-Sent Events streaming putem Lambda Web Adaptera, što znači da klijenti mogu primati parcijalne odgovore u stvarnom vremenu bez blokiranja.

Zero-secret model na strani klijenta

Sigurnosni dizajn polazi od načela da klijent ne smije imati pristup niti jednoj lozinci ili OAuth tajni prema backendima. Sve backend kredencijale isključivo drži Secrets Manager; klijenti komuniciraju samo s gatewayem uz scoped JWT token koji vrijedi ograničeno vrijeme.

Kombinirano s opcionalnim privatnim VPC deploymentom (gateway i sve AWS usluge dostupni samo unutar privatne mreže, bez javnog interneta) i AWS Direct Connect vezama za on-premises agente, arhitektura zadovoljava zahtjeve enterprise okruženja s visokim sigurnosnim zahtjevima.

Implementacija podržava otvoreni A2A protokol

Gateway eksplicitno implementira A2A (Agent-to-Agent) protokol — otvoreni standard za interoperabilnost između AI agenata različitih dobavljača. Podržani su i JSON-RPC i HTTP+REST binding, što znači da agenti izgrađeni na različitim platformama mogu komunicirati kroz isti gateway bez promjena na strani klijenta.

Cijeli infrastrukturni kod dostupan je kao Terraform konfiguracija (verzija 1.5.0 ili novija). Terraform automatski provizionira DynamoDB tablice za registar agenata, permisije i rate limit brojače, Cognito user pool, Lambda funkcije za sve operacije, API Gateway i IAM role. Docker build proxy Lambda kontejnera pokreće se automatski kao dio terraform apply procesa.

Praktični kontekst

Referentna arhitektura nije produkcijski spreman servis nego dokumentirani obrazac koji timovi mogu prilagoditi. AWS je naglasio da je gateway namijenjen kao temelj na koji organizacije dodaju vlastite sigurnosne slojeve, monitoring i logiranje specifično za svoju domenu. Backends sami moraju implementirati obranu od prompt injection napada — gateway osigurava tko smije pristupiti agentu, ali ne analizira sadržaj poruka.

Česta pitanja

Koliko point-to-point veza nastaje bez A2A gatewaya u sustavu s 20 agenata?
Bez središnje koordinacije 20 agenata može zahtijevati do 190 direktnih veza (formula N×(N−1)/2), što operativno postaje neodrživo zbog rasutih kredencijala i custom rutiranja.
Kako gateway pronalazi pravog agenta bez poznavanja točnog naziva?
Opisi agenata su indeksirani Bedrock Titan Text Embeddings vektorima u Amazon S3 Vectors, pa klijenti mogu poslati upit prirodnim jezikom i semantičkom pretragom pronaći odgovarajućeg agenta.
Što znači zero-secret model za klijente koji koriste gateway?
Klijenti dobivaju samo scoped JWT tokene; sve backend OAuth kredencijale čuva AWS Secrets Manager, a klijenti nikad ne vide niti upravljaju lozinkama prema pojedinačnim agentima.