云原生热点
MetalBear 获得 1250 万美元种子轮融资,推动 Kubernetes 开发解决方案
以色列初创公司 MetalBear 宣布完成 1250 万美元种子轮融资,由 TLV Partners 领投,TQ Ventures、MTF、Netz Capital 及多位知名天使投资人参投。公司推出的开源工具 mirrord 能让开发者在本地编写代码时直接对接真实的云环境,包括数据库、队列和 API,大幅缩短测试与部署周期。
mirrord 的核心价值在于解决 Kubernetes 开发中的“环境差异”问题。许多微服务最终都会部署在 Kubernetes 集群上,但本地开发环境往往难以完整还原集群规模和依赖关系。mirrord 通过拦截本地输入输出并代理到真实的 Kubernetes 集群,使开发者无需额外搭建复杂的集群,就能在本地模拟生产环境的行为。
严重漏洞“Chaotic Deputy”或致 Kubernetes 集群完全被劫持——Chaos Mesh 安全警报
SC Media 报道说,开源乱源工程平台 Chaos Mesh 中的四个严重漏洞(CVE-2025-59358 至 CVE-2025-59361,合称 “Chaotic Deputy”)允许攻击者在取得集群网络访问后,通过暴露的 GraphQL 服务绕过身份验证执行任意命令,从而可能导致整个 Kubernetes 集群被接管、数据泄露、服务中断或横向移动。这些问题已在上月发布的 Chaos Mesh 更新中修复。JFrog 的安全研究主管 Shachar Menashe 警示,这类工具本身设计上就会赋予对集群的高度权限,一旦有漏洞则可能带来重大风险。
Dapr v1.16 正式发布:多应用工作流、对话 API 等新功能上线
Dapr 发布了新版 1.16,带来包括 多应用工作流(Multi-application Workflows) 的支持,使得跨多个应用协调复杂业务流程(如审批链、LLM + GPU 密集任务管道)成为可能;还有 workflow 性能提升与稳定性优化(减少内存分配、改善调度器可靠性、提高并发吞吐量等);新增对 HTTP 流(HTTP Streaming / SSE)的外部端点代理支持。
增强了身份验证支持(JWT, OIDC)和分布式追踪中的 W3C baggage;多种组件、SDK(.NET、Python、Java、Go、JavaScript、Rust)也做了改进,修复 bug 并扩展功能。在升级方面,无论是在本地/自托管环境还是 Kubernetes 上,都提供了清晰的升级步骤,同时指出部分破坏性变更与弃用通告,需要注意兼容性。
技术实践
文章推荐
在 Kubernetes 上运行 AI 的关键考虑事项
随着越来越多的团队将生成式 AI 融入应用和工作流中,Kubernetes 成为了管理此类容器化工作负载的首选平台,但 AI 工作负载有其特殊挑战。要做到这一点,需要采用事件驱动基础设施(如 Knative 和 KEDA),以便在用户请求、流数据或后台任务触发时自动扩缩容;在服务大型语言模型 (LLMs) 时,要密切关注自动扩缩策略、资源调度与 GPU 利用率,同时确保可观测性、调试能力以及对 prompt 和模型漂移的监控;最后随着 AI 流程复杂化(包括 prompt 管理、模型发布、traffic 路由、评价循环等),ML 与 DevOps 的融合也变得非常关键,需要把 prompt 视为版本化的资产、构建 CI/CD 和 Shadow / 测试流水线,并借助如 KServe、Kubeflow 等工具来管理整个 AI 生命周期。
Kubernetes v1.34:卷组快照 Beta 2 功能发布
在 Kubernetes v1.34 版本中,卷组快照(Volume Group Snapshots)功能被推进到 v1beta2 阶段;该功能最初在 1.27 中作为 Alpha 引入,1.32 时升为 Beta。此功能依赖于一组 CSI(Container Storage Interface)扩展 API,允许用户对一组 PersistentVolumeClaims 进行“崩溃一致性”(crash-consistent)的快照,并能将这些快照恢复为新的卷以重建工作负载。Beta-2 引入了新的结构 —— VolumeSnapshotInfo 和 VolumeSnapshotInfoList,替代旧的 VolumeSnapshotHandlePairList,用于存储单个卷快照成员的信息;同时,如果 CSI 驱动器未实现 ListSnapshots RPC,则先前无法设置的 restoreSize 字段问题在这一版本中被捕捉并处理。现有的 v1beta1 API 对象将在后台通过 webhook 转换为 v1beta2。
开源项目推荐
llmariner
LLMariner 是一个开源项目,旨在在 Kubernetes 上构建可扩展的生成式 AI 平台,支持 OpenAI 兼容接口。它采用控制平面与工作平面分离的架构:控制平面提供 OpenAI 风格的 API 并负责管理系统状态,工作平面则运行在一个或多个集群或节点上,用于执行训练、推理等任务,充分利用 GPU 资源。项目还提供了多种集成示例,如与 VS Code、JetBrains 的代码助手集成,以及 Weights & Biases 的训练监控,并支持通过 Helm chart 进行生产环境部署。
OneX
OneX(onexstack/onex)是一个面向 Go + 云原生的企业级项目脚手架与实战平台,专为高质量、易维护和高扩展性的工程而设计。该项目涵盖 Go 后端开发、微服务、分布式日志监控、服务治理、Kubernetes 与 Docker 实践、命令行工具、认证授权等技术栈,同时强调代码规范、项目结构规范、文档规范、部署与运维规范等。它提供了完整示例、部署脚本与清晰架构,适合作为云原生应用开发与学习的基础设施模板。
Kubewall
Kubewall 是一个开源的 Kubernetes 仪表板(Dashboard)工具,它以 单二进制(single-binary) 形式运行,支持多集群管理,并且集成了 AI 能力(如 OpenAI、Claude 4、Gemini、DeepSeek、OpenRouter、Ollama、Qwen 等)。它提供实时监控集群、Pods、服务等资源的界面,可以查看日志、配置清单、服务状态等;支持强大的搜索与过滤功能;部署轻量且跨平台(支持 Mac / Windows / Linux /Helm 等方式),界面简洁,隐私安全优先,适合想要从一个工具管理多个 Kubernetes 集群并希望部分自动化/智能化辅助诊断与操作的团队。
KubeSphere 社区版即将发布!
👩💻 开发者的福利来了!
KubeSphere 社区版,一款永久免费、开箱即用的云原生容器平台,为开发者和企业提供完整的容器管理与运维体验。
四大亮点:
✅ 永久免费:零成本无忧使用,持续迭代升级,构建云原生基石。
✅ 简易安装:支持任意环境,在线/离线一键部署,扩容升级更省心。
✅ 功能全面:多租户、可观测性、应用生命周期、DevOps 一应俱全。
✅ 灵活扩展:可插拔架构,轻松集成主流开源工具,像搭积木一样扩展能力。
📌 KubeSphere 社区版即将发布,国庆后和大家见面!敬请期待!
