云原生熱點

MetalBear 獲得 1250 萬美元種子輪融資，推動 Kubernetes 開發解決方案

以色列初創公司 MetalBear 宣布完成 1250 萬美元種子輪融資，由 TLV Partners 領投，TQ Ventures、MTF、Netz Capital 及多位知名天使投資人參投。公司推出的開源工具 mirrord 能讓開發者在本地編寫代碼時直接對接真實的云環境，包括數據庫、隊列和 API，大幅縮短測試與部署周期。

mirrord 的核心價值在于解決 Kubernetes 開發中的“環境差異”問題。許多微服務最終都會部署在 Kubernetes 集群上，但本地開發環境往往難以完整還原集群規模和依賴關系。mirrord 通過攔截本地輸入輸出并代理到真實的 Kubernetes 集群，使開發者無需額外搭建復雜的集群，就能在本地模擬生產環境的行為。

嚴重漏洞“Chaotic Deputy”或致 Kubernetes 集群完全被劫持——Chaos Mesh 安全警報

SC Media 報道說，開源亂源工程平臺 Chaos Mesh 中的四個嚴重漏洞（CVE-2025-59358 至 CVE-2025-59361，合稱 “Chaotic Deputy”）允許攻擊者在取得集群網絡訪問后，通過暴露的 GraphQL 服務繞過身份驗證執行任意命令，從而可能導致整個 Kubernetes 集群被接管、數據泄露、服務中斷或橫向移動。這些問題已在上月發布的 Chaos Mesh 更新中修復。JFrog 的安全研究主管 Shachar Menashe 警示，這類工具本身設計上就會賦予對集群的高度權限，一旦有漏洞則可能帶來重大風險。

Dapr v1.16 正式發布：多應用工作流、對話 API 等新功能上線

Dapr 發布了新版 1.16，帶來包括 多應用工作流（Multi-application Workflows） 的支持，使得跨多個應用協調復雜業務流程（如審批鏈、LLM + GPU 密集任務管道）成為可能；還有 workflow 性能提升與穩定性優化（減少內存分配、改善調度器可靠性、提高并發吞吐量等）；新增對 HTTP 流（HTTP Streaming / SSE）的外部端點代理支持。

增強了身份驗證支持（JWT, OIDC）和分布式追蹤中的 W3C baggage；多種組件、SDK（.NET、Python、Java、Go、JavaScript、Rust）也做了改進，修復 bug 并擴展功能。在升級方面，無論是在本地/自托管環境還是 Kubernetes 上，都提供了清晰的升級步驟，同時指出部分破壞性變更與棄用通告，需要注意兼容性。

技術實踐

文章推薦

在 Kubernetes 上運行 AI 的關鍵考慮事項

隨著越來越多的團隊將生成式 AI 融入應用和工作流中，Kubernetes 成為了管理此類容器化工作負載的首選平臺，但 AI 工作負載有其特殊挑戰。要做到這一點，需要采用事件驅動基礎設施（如 Knative 和 KEDA），以便在用戶請求、流數據或后臺任務觸發時自動擴縮容；在服務大型語言模型 (LLMs) 時，要密切關注自動擴縮策略、資源調度與 GPU 利用率，同時確保可觀測性、調試能力以及對 prompt 和模型漂移的監控；最后隨著 AI 流程復雜化（包括 prompt 管理、模型發布、traffic 路由、評價循環等），ML 與 DevOps 的融合也變得非常關鍵，需要把 prompt 視為版本化的資產、構建 CI/CD 和 Shadow / 測試流水線，并借助如 KServe、Kubeflow 等工具來管理整個 AI 生命周期。

Kubernetes v1.34：卷組快照 Beta 2 功能發布

在 Kubernetes v1.34 版本中，卷組快照（Volume Group Snapshots）功能被推進到 v1beta2 階段；該功能最初在 1.27 中作為 Alpha 引入，1.32 時升為 Beta。此功能依賴于一組 CSI（Container Storage Interface）擴展 API，允許用戶對一組 PersistentVolumeClaims 進行“崩潰一致性”（crash-consistent）的快照，并能將這些快照恢復為新的卷以重建工作負載。Beta-2 引入了新的結構 —— VolumeSnapshotInfo 和 VolumeSnapshotInfoList，替代舊的 VolumeSnapshotHandlePairList，用于存儲單個卷快照成員的信息；同時，如果 CSI 驅動器未實現 ListSnapshots RPC，則先前無法設置的 restoreSize 字段問題在這一版本中被捕捉并處理。現有的 v1beta1 API 對象將在后臺通過 webhook 轉換為 v1beta2。

開源項目推薦

llmariner

LLMariner 是一個開源項目，旨在在 Kubernetes 上構建可擴展的生成式 AI 平臺，支持 OpenAI 兼容接口。它采用控制平面與工作平面分離的架構：控制平面提供 OpenAI 風格的 API 并負責管理系統狀態，工作平面則運行在一個或多個集群或節點上，用于執行訓練、推理等任務，充分利用 GPU 資源。項目還提供了多種集成示例，如與 VS Code、JetBrains 的代碼助手集成，以及 Weights & Biases 的訓練監控，并支持通過 Helm chart 進行生產環境部署。

OneX

OneX（onexstack/onex）是一個面向 Go + 云原生的企業級項目腳手架與實戰平臺，專為高質量、易維護和高擴展性的工程而設計。該項目涵蓋 Go 后端開發、微服務、分布式日志監控、服務治理、Kubernetes 與 Docker 實踐、命令行工具、認證授權等技術棧，同時強調代碼規范、項目結構規范、文檔規范、部署與運維規范等。它提供了完整示例、部署腳本與清晰架構，適合作為云原生應用開發與學習的基礎設施模板。

Kubewall

Kubewall 是一個開源的 Kubernetes 儀表板（Dashboard）工具，它以 單二進制（single-binary） 形式運行，支持多集群管理，并且集成了 AI 能力（如 OpenAI、Claude 4、Gemini、DeepSeek、OpenRouter、Ollama、Qwen 等）。它提供實時監控集群、Pods、服務等資源的界面，可以查看日志、配置清單、服務狀態等；支持強大的搜索與過濾功能；部署輕量且跨平臺（支持 Mac / Windows / Linux /Helm 等方式），界面簡潔，隱私安全優先，適合想要從一個工具管理多個 Kubernetes 集群并希望部分自動化／智能化輔助診斷與操作的團隊。

KubeSphere 社區版即將發布！

????? 開發者的福利來了！

KubeSphere 社區版，一款永久免費、開箱即用的云原生容器平臺，為開發者和企業提供完整的容器管理與運維體驗。

四大亮點：
? 永久免費：零成本無憂使用，持續迭代升級，構建云原生基石。
? 簡易安裝：支持任意環境，在線/離線一鍵部署，擴容升級更省心。
? 功能全面：多租戶、可觀測性、應用生命周期、DevOps 一應俱全。
? 靈活擴展：可插拔架構，輕松集成主流開源工具，像搭積木一樣擴展能力。

?? KubeSphere 社區版即將發布，國慶后和大家見面！敬請期待！