เทคโนโลยีแซนด์บ็อกซ์เป็นหัวใจและความท้าทายในการสร้างสภาพแวดล้อมการทำงานที่ปลอดภัยและมีประสิทธิภาพ โดยโซลูชันแบบดั้งเดิมมักต้องเลือกระหว่างความปลอดภัยกับประสิทธิภาพ Docker Container มีความเสี่ยงที่อาจหลบหนีออกมาได้เนื่องจากใช้เคอร์เนลของโฮสต์ร่วมกัน ในขณะที่เครื่องเสมือน (VM) แบบเต็มรูปแบบมักมาพร้อมกับค่าใช้จ่ายด้านทรัพยากรที่สูง
Cube Sandbox ซึ่งเป็นโอเพนซอร์สจาก Tencent ได้สร้างเลเยอร์เสมือนใหม่โดยใช้ RustVMM บนพื้นฐานของ KVM เพื่อให้สามารถจัดสรรทรัพยากรในระดับไมโครวินาทีได้ คุณสมบัติหลักมีดังนี้:
- การเริ่มต้นแบบเย็น (Cold Start) 60 มิลลิวินาที: ใช้พูลทรัพยากรที่เตรียมไว้ล่วงหน้าและเทคโนโลยีโคลนจากสแนปช็อต ทำให้ความเร็วในการเริ่มต้นเร็วกว่า VM ทั่วไปประมาณ 50 เท่า
- ใช้หน่วยความจำเพียง 5MB ต่ออินสแตนซ์: ใช้เทคนิคการนำหน่วยความจำกลับมาใช้ใหม่แบบ Copy-on-Write และรันไทม์ที่ถูกตัดทอนให้เล็กลงอย่างมาก ลดการใช้หน่วยความจำลงอย่างมาก
- การแยกตัวระดับเคอร์เนลจริง: แต่ละอินสแตนซ์แซนด์บ็อกซ์มี Guest OS Kernel เป็นของตัวเอง ป้องกันความเสี่ยงการหลบหนีของคอนเทนเนอร์ตั้งแต่พื้นฐาน
- เข้ากันได้ 100% กับ E2B: เข้ากันได้อย่างสมบูรณ์กับอินเทอร์เฟซ E2B ที่มีอยู่ สามารถโยกย้ายโปรเจกต์ได้โดยเพียงแค่เปลี่ยนตัวแปรสภาพแวดล้อม
การเปรียบเทียบประสิทธิภาพ
| ตัวชี้วัด | Docker Container | VM แบบดั้งเดิม | Cube Sandbox |
| :———– | :————– | :————– | :————- |
| เวลาเริ่มต้น | ประมาณ 200ms | มากกว่า 2 วินาที | < 60ms |
| การใช้หน่วยความจำ | ใช้เคอร์เนลร่วม | มากกว่า 20MB | < 5MB |
| ระดับการแยกตัว | ต่ำ | สูง | ระดับฮาร์ดแวร์ |
กรณีศึกษาการใช้งานจริงแสดงให้เห็นว่า หลังจากโยกย้ายสถานการณ์การเขียนโปรแกรม AI บางอย่างไปยัง Cube Sandbox การใช้ทรัพยากรลดลง 95.8% เวอร์ชันโอเพนซอร์สมีคอมโพเนนต์การแยกเครือข่าย CubeVS ซึ่งใช้เทคโนโลยี eBPF เพื่อควบคุมการไหลของข้อมูลระหว่างแซนด์บ็อกซ์อย่างละเอียด
การเลือกสแต็กเทคโนโลยีได้รับการพิจารณาอย่างดี: RustVMM รับประกันความปลอดภัยของหน่วยความจำ KVM ให้ความสามารถในการสร้างเครื่องเสมือนด้วยฮาร์ดแวร์เร่งความเร็ว และ eBPF ทำให้สามารถแยกเครือข่ายได้อย่างยืดหยุ่น การทดสอบจริงแสดงให้เห็นว่าโหนดเดียวสามารถรันอินสแตนซ์แซนด์บ็อกซ์ได้พร้อมกันเป็นพันๆ อินสแตนซ์ และการใช้หน่วยความจำเพิ่มขึ้นเพียงเชิงเส้นตามขนาดของอินสแตนซ์ สำหรับนักพัฒนาแล้ว การออกแบบที่เข้ากันได้อย่างสมบูรณ์กับอินเทอร์เฟซ E2B นั้นเป็นมิตรอย่างมาก ซึ่งหมายความว่าโปรเจกต์ AI Agent ที่มีอยู่สามารถโยกย้ายได้อย่างราบรื่นและได้รับโซลูชันทดแทนที่มีประสิทธิภาพดีกว่า โดยเพียงแค่แก้ไขการกำหนดค่า API endpoint
การติดตั้ง Cube Sandbox ต้องการสภาพแวดล้อมที่รองรับ KVM ผู้ใช้ Windows สามารถทดลองใช้ผ่าน WSL2 ได้ ชุมชนโอเพนซอร์สตอบรับอย่างดี มีนักพัฒนาที่ทดสอบแล้วกล่าวว่า “เมื่อเวลาเริ่มต้นแบบเย็นทะลุเกณฑ์ 100 มิลลิวินาที ประสบการณ์ผู้ใช้ของเวิร์กโฟลว์ AI Agent จะเปลี่ยนไปอย่างมีนัยสำคัญ”
นักพัฒนาอีกคนให้ความเห็นว่า “การออกแบบที่เข้ากันได้สมบูรณ์กับ E2B ทำให้การโยกย้ายมีค่าใช้จ่ายเป็นศูนย์ แต่การใช้หน่วยความจำเพียง 5MB ต่างหากที่เป็นกุญแจสำคัญที่รองรับการติดตั้งในระดับใหญ่” โปรเจกต์นี้ได้รองรับการเรียกใช้ระดับหมื่นล้านครั้งภายใน Tencent Cloud แล้ว และมีแผนที่จะเปิดซอร์สฟังก์ชันการย้อนกลับแบบ Event-level Snapshot ในขั้นตอนต่อไป
โปรเจกต์นี้ขอขอบคุณเป็นพิเศษสำหรับพื้นฐานโอเพนซอร์สอย่าง Cloud Hypervisor และ Kata Containers นวัตกรรมที่สร้างขึ้นบนผลงานโอเพนซอร์สที่成熟แล้วเช่นนี้อาจเป็นวิวัฒนาการที่ควรจะเป็นสำหรับโครงสร้างพื้นฐาน AI
GitHub: https://github.com/TencentCloud/CubeSandbox
⚠️ หมายเหตุ: เนื้อหาได้รับการแปลโดย AI และตรวจสอบโดยมนุษย์ หากมีข้อผิดพลาดโปรดแจ้ง
☕ สนับสนุนค่ากาแฟทีมงาน
หากคุณชอบบทความนี้ สามารถสนับสนุนเราได้ผ่าน PromptPay
本文来自网络搜集,不代表คลื่นสร้างอนาคต立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/th/archives/31536