云原生热点
Lima v2.0:为安全AI工作流带来新特性
Lima(Linux Machines)是一个用于在 macOS 和 Linux 上快速创建和管理轻量级 Linux 虚拟机的开源工具,最初主要服务于容器和云原生开发场景。它通过最少配置即可提供接近原生的 Linux 开发体验,并与 Docker、Kubernetes 等工具良好集成。
Lima v2.0 近日已成功发布。本次发布标志着 Lima 从传统的轻量级 Linux 虚拟机工具,进一步升级扩展为面向 AI 的安全工作流平台。新版本引入了插件化架构,显著提升了系统的可扩展性;同时新增GPU 加速支持,让本地大模型运行与 AI 推理能够在虚拟机中更高效地完成。安全能力方面,Lima v2.0 结合模型上下文协议(MCP)与更完善的沙箱机制,加强了对 AI 代理访问文件、执行操作等行为的安全控制与边界约束。
Cloud Hypervisor v50.0 Released!
Cloud Hypervisor 是一个用 Rust 编写的开源虚拟机监控器(VMM),运行在 Linux 的 KVM 或 Microsoft Hypervisor(MSHV)之上,面向现代云原生工作负载设计。它以 virtio 半虚拟化设备为核心,尽量减少传统硬件模拟,从而降低复杂度与攻击面,同时兼顾性能与安全。
Cloud Hypervisor v50.0 于近日发布,本次更新围绕虚拟化能力、存储与迁移性能、以及开发体验做了多项增强:在 x86_64 平台新增可配置的嵌套虚拟化开关(nested=on|off),QCOW2 镜像引入 zlib/zstd 压缩支持;通过优化 dirty bitmap 维护机制提升实时迁移性能;新增 /vm.resize-disk API 以支持运行中对 raw 镜像后端磁盘的在线扩容;同时将块设备锁从整文件锁升级为字节范围锁以更好兼容网络存储。
技术实践
文章推荐
Kubernetes v1.35 引入工作负载感知调度
本文介绍了 Kubernetes v1.35 版本引入了全新的 Workload Aware Scheduling(工作负载感知调度) 功能,这一特性通过 Workload API(scheduling.k8s.io/v1alpha1) 让用户可以定义一个由多个 Pod 组成的工作负载及其调度策略,从而让调度器根据整体组的需求进行优化调度,而非传统的逐 Pod 调度方式。它还提供了初步的 Gang Scheduling(集群式调度) 实现,实现 "要么全部 Pod 一起被调度,要么都不调度" 的策略,从而提升分布式、AI/ML 等复杂任务的资源利用率。
此外,类似 opportunistic batching 的增强也加快了相同 Pod 的批量调度流程,为 Kubernetes 在处理大规模、多 Pod 工作负载时带来更高效、更可控的调度行为。
在 Kubernetes 上使用远程 MCP 架构扩展 LLM 工具
本文介绍了如何在 Kubernetes 环境中构建可扩展、隔离且可观测的远程 MCP(Model Context Protocol)服务器架构来支持大语言模型(LLM)工具的规模化运行。文章指出传统的将 MCP 服务器作为本地进程部署在笔记本或单机上的方式,在实际生产环境中存在扩展性差、日志与监控困难、无法多用户共享等问题,因此提出将 MCP 工具容器化并部署到 Kubernetes 集群中,通过负载均衡器为外部流量提供稳定入口,使 LLM 客户端与远程 MCP 服务器解耦,从而实现独立扩展、独立更新、清晰的运维边界以及更好的安全控制。这样不仅能支持多个团队的协作,还能增强日志可观测性和故障隔离能力,使企业级 AI 系统具备更高的可靠性和生产能力。
开源代理沙箱支持在 Kubernetes 上安全部署 AI 代理
本文介绍了 Agent Sandbox 这一开源的 Kubernetes 控制器项目,它通过提供一个声明式 API 和自定义资源定义(CRD)来管理具有稳定身份和持久存储的单实例 Pod,使得在 Kubernetes 集群中能够 为执行不受信任或复杂的 AI 智能体代码提供安全隔离的沙箱环境。这种隔离通过像 gVisor 和 Kata Containers 这样的技术在内核层面构建安全屏障,从而防止未经验证的代码干扰其他应用或访问底层节点,同时支持生命周期管理、暂停与恢复、网络断连重连自动恢复等功能。
此外,Agent Sandbox 还包括模板机制和预热池等扩展能力,以便更高效地创建大量相似的沙箱实例,适用于 AI 智能体、构建代理、单实例工作负载(如 Jupyter Notebook)等多种场景,有助于在 Kubernetes 上以更安全、更可控的方式运行这些工作负载。
开源项目推荐
Capsule
Capsule 是一个面向 Kubernetes 的多租户与策略管理框架,通过将 Kubernetes 命名空间组合成轻量级的 Tenant 抽象,实现集群内不同团队资源隔离与共享,简化多租户环境管理。它依托 Kubernetes Admission Controllers 强制执行安全与策略约束,支持原生 Kubernetes 体验和 GitOps 工作流,适合构建自助式多租户平台。
Slatedb
SlateDB 是一个用 Rust 构建的云原生嵌入式键值存储引擎,基于日志结构合并树(LSM-tree),将数据直接写入对象存储(如 S3、GCS、MinIO)以实现"无限"存储容量、高持久性及易复制性。它支持批量写入、缓存优化、多语言绑定(Go、Python 等)和事务等特性,适合构建底层存储和云环境应用。
Beszel
Beszel 是一个开源的轻量级服务器监控平台,由中心(Hub)和代理(Agent)组成,可实时收集主机及 Docker 容器的资源使用数据、历史趋势和告警信息。它提供友好的 Web 界面、简单配置、自动备份、多用户支持、OAuth 认证及 API 访问,适合构建低资源占用的自托管监控系统。
Karate
Karate 是一个开源的自动化测试框架,将 API 测试、模拟服务、性能测试和 UI 自动化统一到一个工具中,支持使用可读的 DSL/Gherkin 语法编写测试用例,无需大量编码。它能够与现有 CI/CD 集成,支持并行执行和丰富的断言与报告机制,适合开发者和测试团队提升测试效率与可维护性。