雲原生熱點

Lima v2.0：為安全AI工作流帶來新特性

Lima（Linux Machines）是一個用於在 macOS 和 Linux 上快速創建和管理輕量級 Linux 虛擬機的開源工具，最初主要服務於容器和雲原生開發場景。它通過最少配置即可提供接近原生的 Linux 開發體驗，並與 Docker、Kubernetes 等工具良好集成。

Lima v2.0 近日已成功發佈。本次發佈標誌着 Lima 從傳統的輕量級 Linux 虛擬機工具，進一步升級擴展為面向 AI 的安全工作流平台。新版本引入了插件化架構，顯著提升了系統的可擴展性；同時新增GPU 加速支持，讓本地大模型運行與 AI 推理能夠在虛擬機中更高效地完成。安全能力方面，Lima v2.0 結合模型上下文協議（MCP）與更完善的沙箱機制，加強了對 AI 代理訪問文件、執行操作等行為的安全控制與邊界約束。

Cloud Hypervisor v50.0 Released!

Cloud Hypervisor 是一個用 Rust 編寫的開源虛擬機監控器（VMM），運行在 Linux 的 KVM 或 Microsoft Hypervisor（MSHV）之上，面向現代雲原生工作負載設計。它以 virtio 半虛擬化設備為核心，儘量減少傳統硬件模擬，從而降低複雜度與攻擊面，同時兼顧性能與安全。

Cloud Hypervisor v50.0 於近日發佈，本次更新圍繞虛擬化能力、存儲與遷移性能、以及開發體驗做了多項增強：在 x86_64 平台新增可配置的嵌套虛擬化開關（nested=on|off），QCOW2 鏡像引入 zlib/zstd 壓縮支持；通過優化 dirty bitmap 維護機制提升實時遷移性能；新增 /vm.resize-disk API 以支持運行中對 raw 鏡像後端磁盤的在線擴容；同時將塊設備鎖從整文件鎖升級為字節範圍鎖以更好兼容網絡存儲。

技術實踐

文章推薦

Kubernetes v1.35 引入工作負載感知調度

本文介紹了 Kubernetes v1.35 版本引入了全新的 Workload Aware Scheduling（工作負載感知調度） 功能，這一特性通過 Workload API（scheduling.k8s.io/v1alpha1） 讓用户可以定義一個由多個 Pod 組成的工作負載及其調度策略，從而讓調度器根據整體組的需求進行優化調度，而非傳統的逐 Pod 調度方式。它還提供了初步的 Gang Scheduling（集羣式調度） 實現，實現 “要麼全部 Pod 一起被調度，要麼都不調度” 的策略，從而提升分佈式、AI/ML 等複雜任務的資源利用率。

此外，類似 opportunistic batching 的增強也加快了相同 Pod 的批量調度流程，為 Kubernetes 在處理大規模、多 Pod 工作負載時帶來更高效、更可控的調度行為。

在 Kubernetes 上使用遠程 MCP 架構擴展 LLM 工具

本文介紹瞭如何在 Kubernetes 環境中構建可擴展、隔離且可觀測的遠程 MCP（Model Context Protocol）服務器架構來支持大語言模型（LLM）工具的規模化運行。文章指出傳統的將 MCP 服務器作為本地進程部署在筆記本或單機上的方式，在實際生產環境中存在擴展性差、日誌與監控困難、無法多用户共享等問題，因此提出將 MCP 工具容器化並部署到 Kubernetes 集羣中，通過負載均衡器為外部流量提供穩定入口，使 LLM 客户端與遠程 MCP 服務器解耦，從而實現獨立擴展、獨立更新、清晰的運維邊界以及更好的安全控制。這樣不僅能支持多個團隊的協作，還能增強日誌可觀測性和故障隔離能力，使企業級 AI 系統具備更高的可靠性和生產能力。

開源代理沙箱支持在 Kubernetes 上安全部署 AI 代理

本文介紹了 Agent Sandbox 這一開源的 Kubernetes 控制器項目，它通過提供一個聲明式 API 和自定義資源定義（CRD）來管理具有穩定身份和持久存儲的單實例 Pod，使得在 Kubernetes 集羣中能夠 為執行不受信任或複雜的 AI 智能體代碼提供安全隔離的沙箱環境。這種隔離通過像 gVisor 和 Kata Containers 這樣的技術在內核層面構建安全屏障，從而防止未經驗證的代碼干擾其他應用或訪問底層節點，同時支持生命週期管理、暫停與恢復、網絡斷連重連自動恢復等功能。

此外，Agent Sandbox 還包括模板機制和預熱池等擴展能力，以便更高效地創建大量相似的沙箱實例，適用於 AI 智能體、構建代理、單實例工作負載（如 Jupyter Notebook）等多種場景，有助於在 Kubernetes 上以更安全、更可控的方式運行這些工作負載。

開源項目推薦

Capsule

Capsule 是一個面向 Kubernetes 的多租户與策略管理框架，通過將 Kubernetes 命名空間組合成輕量級的 Tenant 抽象，實現集羣內不同團隊資源隔離與共享，簡化多租户環境管理。它依託 Kubernetes Admission Controllers 強制執行安全與策略約束，支持原生 Kubernetes 體驗和 GitOps 工作流，適合構建自助式多租户平台。

Slatedb

SlateDB 是一個用 Rust 構建的雲原生嵌入式鍵值存儲引擎，基於日誌結構合併樹（LSM-tree），將數據直接寫入對象存儲（如 S3、GCS、MinIO）以實現“無限”存儲容量、高持久性及易複製性。它支持批量寫入、緩存優化、多語言綁定（Go、Python 等）和事務等特性，適合構建底層存儲和雲環境應用。

Beszel

Beszel 是一個開源的輕量級服務器監控平台，由中心（Hub）和代理（Agent）組成，可實時收集主機及 Docker 容器的資源使用數據、歷史趨勢和告警信息。它提供友好的 Web 界面、簡單配置、自動備份、多用户支持、OAuth 認證及 API 訪問，適合構建低資源佔用的自託管監控系統。

Karate

Karate 是一個開源的自動化測試框架，將 API 測試、模擬服務、性能測試和 UI 自動化統一到一個工具中，支持使用可讀的 DSL/Gherkin 語法編寫測試用例，無需大量編碼。它能夠與現有 CI/CD 集成，支持並行執行和豐富的斷言與報告機制，適合開發者和測試團隊提升測試效率與可維護性。