雲原生熱點

CNCF 宣佈 Crossplane 畢業：邁入雲原生智能控制平面新階段

Crossplane 是一個開源的 Kubernetes 擴展，用 Kubernetes 的 API 來管理各雲廠商的基礎設施，把 K8s 變成“通用控制平面”。

近日，Crossplane 正式從 CNCF 孵化畢業，進入最高成熟度階段。CNCF 在公告中指出，Crossplane 通過聲明式 API 將雲基礎設施、應用和服務統一到同一控制平面下，使平台工程團隊能夠以可編排、可審計、策略驅動的方式管理多雲與混合雲環境，併為 AI 驅動的自動化運維提供可靠基座。當前 Crossplane 已累計發佈 100+ 版本，最新的 v2.0 提供了更完善的應用控制平面架構和對智能運維的增強支持，社區擁有 3000 多名貢獻者、覆蓋 450+ 組織，在 CNCF 項目中活躍度位居前列，官方也強調其已適用於大規模生產環境部署。

Koordinator v1.7.0 發佈：以網絡拓撲感知調度賦能大規模 AI 訓練

Koordinator 是一個基於 QoS 的 Kubernetes 調度增強系統，用來在同一集羣裏高效混部微服務、AI、大數據等不同類型的工作負載，通過資源超賣、精細化資源隔離和智能調度，提升集羣資源利用率和關鍵業務的運行穩定性。

Koordinator v1.7.0 正式發佈，本次版本重點圍繞大規模 AI 訓練場景進行能力升級，引入了網絡拓撲感知調度和作業級搶佔機制，以降低跨節點通信開銷、提升大集羣下分佈式訓練作業的整體效率。同時，v1.7.0 進一步增強異構設備調度，新增對華為昇騰 NPU、寒武紀 MLU 等設備的支持，打通從設備發現、分配到監控的端到端管理鏈路，並完善了相關 API 文檔與開發者指南，幫助平台團隊在同一調度系統下統一管理多類型 AI 計算資源。

runc 三大高危漏洞曝光：Docker 與 Kubernetes 容器隔離面臨逃逸風險

runc 是一個遵循 OCI 規範的輕量級容器運行時（container runtime），本質上是一個命令行工具，用來在 Linux 上創建、運行和銷燬容器。

近日 runc 容器運行時被曝出 3 個高危漏洞，這些漏洞影響 Docker、Kubernetes 等平台的容器隔離機制。攻擊者如果能以自定義 mount 配置啓動容器，就可能利用 maskedPaths 繞過、防護缺陷的 /dev/console 掛載流程，以及與共享掛載相關的競爭條件，重定向對 procfs 的寫入，從而寫入如 /proc/sys/kernel/core_pattern、/proc/sysrq-trigger 等關鍵系統文件，實現容器逃逸、獲取宿主機 root 權限甚至導致系統崩潰。漏洞影響幾乎所有已知 runc 版本（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881），官方已在 1.2.8、1.3.3 和 1.4.0-rc.3+ 中完成修復。文中建議受影響組織立刻升級 runc 版本，並啓用用户命名空間和 rootless 容器，以減少對 procfs 和宿主機的直接訪問，同時儘快應用雲服務商（如 AWS ECS/EKS）已發佈的安全更新。

技術實踐

文章推薦

被忽視的 10 個 DevOps 關鍵實踐：比炫技更重要的東西

這篇文章指出，很多團隊在談 DevOps 時只關注版本控制、CI/CD、基礎設施即代碼等“顯眼技術”，卻忽視了那些真正決定交付質量和效率的“冷門實踐”。作者總結了 10 個常被低估的關鍵點，包括：重新審視 DevOps 文化與跨職能協作、在流水線中前移代碼質量與安全、自動化開源供應鏈審查、標準化 CI/CD 流水線、把數據庫模式納入 DevOps、建設可維護的持續測試體系、將配置和 IaC 視為高槓杆資產、把可觀測性當作硬性要求、梳理並整合繁雜的 DevOps 工具，以及把 DevOps 能力擴展到 AI 代理和模型的全生命週期管理。文章強調，DevOps 應被視為一項持續投資，關鍵是圍繞業務價值和可靠性來選擇和打磨這些“看起來不酷但極有價值”的實踐。

我把家裏的 Docker Compose 換成了 Kubernetes，感覺棒極了！

這篇文章講述了一位開發者在家用環境中，從 Docker Compose 遷移到 Kubernetes（具體是使用 MicroK8s）的親身體驗與感受。他原本已經習慣用 Docker Compose 加上各種容器來搭建服務，但隨着需求變複雜，他發現自己更希望有一個統一的“控制平面”視角，能在一個儀表盤中看到所有工作負載的關係、網絡、秘鑰和性能指標。Kubernetes 雖然上手門檻更高、配置更繁瑣，但配合 MicroK8s 的儀表盤、Ingress、Secrets 等能力，讓他在網絡、負載均衡、安全和擴展性上都更有掌控感，也更有“學到東西”的成就感；通過 Kompose 等工具，他還能把現有的 Docker Compose 工作負載遷移過來。作者最終認為，即便在家用實驗室這種規模並不大的場景，Kubernetes 依然能帶來更系統化的管理體驗和學習價值。

開源項目推薦

Terraform

Terraform 是由 HashiCorp 開發的開源基礎設施即代碼（Infrastructure as Code，IaC）工具。它允許用户使用聲明式配置文件來定義、預覽和部署雲端或本地基礎設施，包括服務器、數據庫、網絡、存儲等資源。Terraform 通過提供統一的語法與工作流程，支持多種雲平台（如 AWS、Azure、GCP）以及私有環境，實現跨平台的自動化管理與一致性部署。其核心特性包括可重複的配置、狀態管理、依賴分析和模塊化複用，使團隊能夠高效、安全地構建和維護基礎設施。

envd

envd 是由 TensorChord 開發的開源命令行工具，專為 AI/ML 開發環境設計。用户可通過聲明式配置文件定義依賴、CUDA、IDE 等環境需求，一鍵生成基於容器的開發環境。它支持緩存與 BuildKit 加速，提高構建效率，可在本地或雲端運行，兼容 Docker 與 Kubernetes。envd 使用類似 Python 的 Starlark 語法，支持模塊化與函數複用，降低配置複雜度，幫助團隊快速搭建一致、高效的機器學習開發環境。

KServe

KServe 是一個開源平台，用於在 Kubernetes 上大規模部署和管理機器學習與生成式 AI 模型。它支持多種模型框架，如 TensorFlow、PyTorch、XGBoost、ONNX 等，並通過自定義資源 InferenceService 實現統一的部署與流量管理。KServe 具備自動擴縮、異步推理、GPU 加速、金絲雀發佈等特性，簡化了模型從開發到生產的過程，適用於多雲與混合環境下的高性能模型服務部署。

Admiralty

Admiralty 是一個開源的多集羣調度系統，基於 Kubernetes 構建，用於在多個集羣之間智能分配工作負載。它通過在源集羣中添加註解即可將 Pod 調度到目標集羣運行，並自動同步相關資源。Admiralty 支持集中式或分佈式拓撲，適用於多雲、混合雲、邊緣計算等場景，實現跨集羣的高可用部署與資源優化。