CNCF:Kubernetes作为智能体AI的运营基础——多智能体安全平台的经验教训
CNCF发布了一项案例研究,介绍如何在Kubernetes上构建多智能体安全平台。其中每个AI智能体都是独立的Kubernetes部署,而非单体服务。智能体的安全决策通过Open Policy Agent的policy-as-code机制实现,模型调用受经典异常检测监控——LLM并非最后一道防线。Orange Innovation的作者论点:智能体AI继承了云原生已经解决的所有运维问题。
🤖
本文由人工智能基于一手来源生成。
CNCF(云原生计算基金会)发布了一项案例研究,Orange Innovation的安全架构师在其中阐释了为何智能体AI需要建立在云原生基础之上。
每个智能体作为独立的Kubernetes部署
在所描述的多智能体安全平台中,每个AI智能体都是独立的Kubernetes部署,而非单体服务的一部分。这种隔离意味着智能体可以像微服务一样独立扩展、监控和约束。这一方法与常见做法相反——后者将整个智能体系统作为单一应用运行,导致控制和韧性难以保障。
Policy-as-code与受监控的模型
智能体的安全决策通过Open Policy Agent(OPA)的policy-as-code机制实现——该工具以代码而非手动配置来表达规则。关键在于,大型语言模型的调用经过经典异常检测的网关拦截:LLM并非最后一道防线,而是一个组件,其行为在执行前由经过验证的安全方法进行校验。
智能体AI从云原生继承了什么?
作者的核心论点是:智能体AI继承了云原生已经解决的所有运维问题——可观测性、隔离性、访问管理、交付。文中指出,cert-manager、Cilium和GitOps等云原生原语可直接应用于智能体工作负载。这一信息具有实际意义:团队不需要为智能体发明新的运维规范,而应沿用Kubernetes生态系统已有的成熟体系。
常见问题
- 平台是如何构建的?
- 每个AI智能体都是独立的Kubernetes部署,而非单体服务;安全决策通过OPA policy-as-code机制实现。
- LLM是最后一道防线吗?
- 不是——模型调用在执行前经过经典异常检测的网关拦截。