云原生热点
Lima(Linux Machines)是一个用于在 macOS 和 Linux 上快速创建和管理轻量级 Linux 虚拟机的开源工具,最初主要服务于容器和云原生开发场景。它通过最少配置即可提供接近原生的 Linux 开发体验,并与 Docker、Kubernetes 等工具良好集成。
Lima v2.0 近日已成功发布。本次发布标志着 Lima 从传统的轻量级 Linux 虚拟机工具,进一步升级扩展为面向 AI 的安全工作流平台。新版本引入了插件化架构,显著提升了系统的可扩展性;同时新增GPU 加速支持,让本地大模型运行与 AI 推理能够在虚拟机中更高效地完成。安全能力方面,Lima v2.0 结合模型上下文协议(MCP)与更完善的沙箱机制,加强了对 AI 代理访问文件、执行操作等行为的安全控制与边界约束。
Cloud Hypervisor 是一个用 Rust 编写的开源虚拟机监控器(VMM),运行在 Linux 的 KVM 或 Microsoft Hypervisor(MSHV)之上,面向现代云原生工作负载设计。它以 virtio 半虚拟化设备为核心,尽量减少传统硬件模拟,从而降低复杂度与攻击面,同时兼顾性能与安全。
Cloud Hypervisor v50.0 于近日发布,本次更新围绕虚拟化能力、存储与迁移性能、以及开发体验做了多项增强:在 x86_64 平台新增可配置的嵌套虚拟化开关(nested=on|off),QCOW2 镜像引入 zlib/zstd 压缩支持;通过优化 dirty bitmap 维护机制提升实时迁移性能;新增 /vm.resize-diskAPI 以支持运行中对 raw 镜像后端磁盘的在线扩容;同时将块设备锁从整文件锁升级为字节范围锁以更好兼容网络存储。
技术实践
文章推荐
本文介绍了 Kubernetes v1.35 版本引入了全新的 Workload Aware Scheduling(工作负载感知调度) 功能,这一特性通过 Workload API(scheduling.k8s.io/v1alpha1) 让用户可以定义一个由多个 Pod 组成的工作负载及其调度策略,从而让调度器根据整体组的需求进行优化调度,而非传统的逐 Pod 调度方式。它还提供了初步的 Gang Scheduling(集群式调度) 实现,实现 “要么全部 Pod 一起被调度,要么都不调度” 的策略,从而提升分布式、AI/ML 等复杂任务的资源利用率。
此外,类似 opportunistic batching 的增强也加快了相同 Pod 的批量调度流程,为 Kubernetes 在处理大规模、多 Pod 工作负载时带来更高效、更可控的调度行为。
本文介绍了如何在 Kubernetes 环境中构建可扩展、隔离且可观测的远程 MCP(Model Context Protocol)服务器架构来支持大语言模型(LLM)工具的规模化运行。文章指出传统的将 MCP 服务器作为本地进程部署在笔记本或单机上的方式,在实际生产环境中存在扩展性差、日志与监控困难、无法多用户共享等问题,因此提出将 MCP 工具容器化并部署到 Kubernetes 集群中,通过负载均衡器为外部流量提供稳定入口,使 LLM 客户端与远程 MCP 服务器解耦,从而实现独立扩展、独立更新、清晰的运维边界以及更好的安全控制。这样不仅能支持多个团队的协作,还能增强日志可观测性和故障隔离能力,使企业级 AI 系统具备更高的可靠性和生产能力。
本文介绍了 Agent Sandbox 这一开源的 Kubernetes 控制器项目,它通过提供一个声明式 API 和自定义资源定义(CRD)来管理具有稳定身份和持久存储的单实例 Pod,使得在 Kubernetes 集群中能够 为执行不受信任或复杂的 AI 智能体代码提供安全隔离的沙箱环境。这种隔离通过像 gVisor 和 Kata Containers 这样的技术在内核层面构建安全屏障,从而防止未经验证的代码干扰其他应用或访问底层节点,同时支持生命周期管理、暂停与恢复、网络断连重连自动恢复等功能。
此外,Agent Sandbox 还包括模板机制和预热池等扩展能力,以便更高效地创建大量相似的沙箱实例,适用于 AI 智能体、构建代理、单实例工作负载(如 Jupyter Notebook)等多种场景,有助于在 Kubernetes 上以更安全、更可控的方式运行这些工作负载。
开源项目推荐
Capsule 是一个面向 Kubernetes 的多租户与策略管理框架,通过将 Kubernetes 命名空间组合成轻量级的 Tenant 抽象,实现集群内不同团队资源隔离与共享,简化多租户环境管理。它依托 Kubernetes Admission Controllers 强制执行安全与策略约束,支持原生 Kubernetes 体验和 GitOps 工作流,适合构建自助式多租户平台。
SlateDB 是一个用 Rust 构建的云原生嵌入式键值存储引擎,基于日志结构合并树(LSM-tree),将数据直接写入对象存储(如 S3、GCS、MinIO)以实现“无限”存储容量、高持久性及易复制性。它支持批量写入、缓存优化、多语言绑定(Go、Python 等)和事务等特性,适合构建底层存储和云环境应用。
Beszel 是一个开源的轻量级服务器监控平台,由中心(Hub)和代理(Agent)组成,可实时收集主机及 Docker 容器的资源使用数据、历史趋势和告警信息。它提供友好的 Web 界面、简单配置、自动备份、多用户支持、OAuth 认证及 API 访问,适合构建低资源占用的自托管监控系统。
Karate 是一个开源的自动化测试框架,将 API 测试、模拟服务、性能测试和 UI 自动化统一到一个工具中,支持使用可读的 DSL/Gherkin 语法编写测试用例,无需大量编码。它能够与现有 CI/CD 集成,支持并行执行和丰富的断言与报告机制,适合开发者和测试团队提升测试效率与可维护性。
