Kubernetes在v1.36版本中推出了用户命名空间支持,这是一个Linux专属功能。它实现了在Kubernetes工作负载中的“无根”安全隔离,允许以特权运行工作负载并限制在用户命名空间内。通过设置hostUsers: false,特权能力如CAP_NET_ADMIN被命名空间化,从而增强了安全性和性能。此功能经过多年开发,感谢所有贡献者的努力。

Kubernetes v1.36:Kubernetes中的用户命名空间终于达到正式发布
Kubernetes Blog
Kubernetes Blog ·
OpenClaw 的轻量级替代品:NanoClaw – 基于 Apple 容器隔离,使用 Claude

OpenClaw 的轻量级替代品:NanoClaw – 基于 Apple 容器隔离,使用 Claude
小众软件
小众软件 ·
从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析

从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析
dotNET跨平台
dotNET跨平台 ·
从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析

从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析
dotNET跨平台
dotNET跨平台 ·
从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析

从“手机上写代码“的疯狂想法,到一套完整的AI编程平台架构——WebCode深度技术剖析
dotNET跨平台
dotNET跨平台 ·
开源Agent Sandbox实现AI代理在Kubernetes上的安全部署

开源Agent Sandbox实现AI代理在Kubernetes上的安全部署
InfoQ
InfoQ ·
我们应该在有图形界面虚拟机中使用 Claude CLI

我们应该在有图形界面虚拟机中使用 Claude CLI
Teach Talk
Teach Talk ·
我们应该在有图形界面虚拟机中使用 Claude CLI

我们应该在有图形界面虚拟机中使用 Claude CLI
Teach Talk
Teach Talk ·

Snap 是一种新型的 Linux 软件包格式,解决了兼容性和依赖冲突问题,支持跨发行版、自动更新和安全隔离。开发者可通过 Snapcraft 构建应用,用户可通过 Snap Store 安装和管理应用。尽管存在磁盘占用大和权限配置复杂等问题,Snap 仍为 Linux 应用管理提供了有效的解决方案。

Linux Snaps:一站式了解容器化软件包的设计、使用与最佳实践
极客技术博客’s Blog
极客技术博客’s Blog ·

本文分析了Linux沙箱技术的原理、工具及实践,强调其在构建安全隔离环境中的重要性。Linux通过Namespaces和cgroups等机制提供多层次的沙箱解决方案,适用于桌面和服务器,帮助防范恶意软件及安全威胁。

Linux 沙箱技术详解:从原理到实践
极客技术博客’s Blog
极客技术博客’s Blog ·

PPIO推出轻量级Agent Runtime框架,旨在简化智能Agent的部署,支持长时间有状态运行。该框架结合安全隔离与快速启动,适用于多轮交互应用,降低开发与运维成本,推动云计算向AI原生基础设施演进。

PPIO发布Agent Runtime:进一步助力企业快速、低成本部署Agent
量子位
量子位 ·
使用Cloud Foundations网络共享产品规划、设计并一键部署跨区域的多云网络,支持多个网络账户

使用Cloud Foundations网络共享产品规划、设计并一键部署跨区域的多云网络,支持多个网络账户
亚马逊AWS官方博客
亚马逊AWS官方博客 ·
在Kubernetes上安全地部署和运行多租户

在Kubernetes上安全地部署和运行多租户
The New Stack
The New Stack ·

本文介绍了华为云多沙箱容器运行时Kuasar项目的优势和架构技术,以及其与传统容器运行时的区别。Kuasar采用了多种沙箱技术,包括轻量虚拟机沙箱、用户态内核沙箱和WebAssembly沙箱,以满足用户对安全隔离、极速弹性和标准通用等多个维度的需求。

理论+实操,带你了解多沙箱容器运行时Kuasar
华为云官方博客
华为云官方博客 ·
👤 个人中心
在公众号发送验证码完成验证