平台與維運 2026 年 5 月 13 日

2026-05-13 — Docker AI Governance 執行層 Agent 管治、K8s v1.36 Volume Group Snapshots GA

primary=https://www.docker.com/blog/docker-ai-governance-unlock-agent-autonomy-safely/ primary=https://kubernetes.io/blog/2026/05/08/kubernetes-v1-36-volume-group-snapshot-ga/

Charlie · github.com/charlie0227 · 1 min read

Docker AI Governance:在執行層強制落地的 AI Agent 沙箱、MCP 工具與憑證管治框架

Docker · 2026-05-12

Docker 在 2026 年五月發布 Docker AI Governance,提供一套在執行層(runtime layer)而非政策建議層對 AI Agent 實施管治的框架,核心由 Docker Sandboxes(microVM 隔離環境)和 Docker MCP Gateway(工具呼叫統一控制平面)組成。

核心架構

Docker AI Governance 的設計哲學明確表示:「管治必須在 agent 實際執行的執行層,而非作為任何聰明的提示詞都能繞過的建議規則層。」系統分為四個控制面:

  • 沙箱政策(網路與檔案系統):允許/拒絕規則涵蓋網域、IP 與 CIDR 範圍;掛載規則控制路徑的讀寫範圍;強制在代理與掛載層執行,而非建議性規則
  • 憑證管治:控制 agent 在每個工作階段可存取哪些 token 和金鑰;阻止憑證滲出至未核准目的地;防止開發者將 token 貼入提示詞
  • MCP 工具管治:組織層級統一管理核准的 MCP 伺服器;未核准伺服器預設封鎖;所有 MCP 呼叫流經與網路/檔案系統相同的政策引擎,無繞過路徑
  • 角色型政策指派:整合 SAML 和 SCIM,讓 IdP 系統的群組成員資格直接決定政策組別;組織層級防護規則不可被個別使用者覆蓋

雙路徑威脅模型

Docker 識別 AI Agent 的兩條危害路徑:程式碼執行路徑(agent 直接觸碰檔案、開啟網路連線)與 工具呼叫路徑(agent 透過 MCP 工具間接存取外部系統)。任一路徑未受管治即等同整體管治失效。MCP Gateway 作為所有工具呼叫的統一節點,同時記錄使用者身份、時間戳記、工作階段上下文和觸發規則,以結構化事件格式輸出至 SIEM 和合規系統。

影響範圍

對平台工程師而言,Docker AI Governance 的核心價值是將 AI Agent 的安全稽核與現有的 CI/CD 基礎設施整合,而不是引入一套獨立的 AI 安全工具。同一個 Docker Sandbox primitive 在筆電、Kubernetes 叢集和雲端環境中保持一致的政策執行語義,管理員只需在一處定義政策,推送後自動到達所有裝置。目前以銷售洽談方式提供,尚未公開定價。

原始來源:Docker Blog

Kubernetes v1.36:Volume Group Snapshots 升至 GA,跨卷崩潰一致性快照進入穩定 API

Kubernetes Blog · 2026-05-08

Kubernetes v1.36 將 Volume Group Snapshots 功能升至正式發布(GA),API 版本晉升為 groupsnapshot.storage.k8s.io/v1。這個功能從 v1.27 Alpha、v1.32 Beta、v1.34 Beta v2 一路演進,讓多卷應用程式可以在同一時間點對多個 PersistentVolumeClaim 建立崩潰一致性快照,無需應用程式主動靜止(quiescence)。

規格細節

Volume Group Snapshots 引入三個 CRD。VolumeGroupSnapshot 由使用者或自動化系統建立,透過標籤選擇器(label selectors)匹配目標 PVC;VolumeGroupSnapshotContent 由控制器自動建立,與 VolumeGroupSnapshot 一對一綁定,記錄提供者(provisioner)的資源資訊;VolumeGroupSnapshotClass 由叢集管理員建立,定義驅動程式和刪除政策。GA 版本主要改善了 restoreSize 回報的準確性(自 v1beta2 引入),並修復了多個 Beta 回饋中發現的穩定性問題。

apiVersion: groupsnapshot.storage.k8s.io/v1
kind: VolumeGroupSnapshot
metadata:
  name: snapshot-daily-20260513
  namespace: demo-namespace
spec:
  volumeGroupSnapshotClassName: csi-groupSnapclass
  source:
    selector:
      matchLabels:
        group: myGroup

影響範圍

此功能僅支援 CSI 驅動程式,不支援 in-tree 儲存外掛。需要 containerd v2.0+ 或 CRI-O 等支援 CreateVolumeGroupSnapshot CRI 呼叫的容器執行時。GA 的主要受益場景是多卷資料庫(主資料卷 + 日誌卷 + 設定卷分開掛載但需要一致性備份),以及微服務部署中需要對一批服務的持久儲存同時建立一致性快照的情境。與 Kubernetes v1.36 同批發布的其他儲存功能還包括 VolumeGroupSnapshot 相關的 CSI 驅動更新指引。

原始來源:Kubernetes Blog

End of article

More on this topic

平台與維運
2026-05-12 — K8s v1.36 Pod 層級資源原地縱向擴縮升至 Beta
5 月 12, 2026 · 1 min read
平台與維運
2026-05-11 — 三套可觀測性堆疊困境、Grafana Adaptive Logs、.de TLD DNSSEC 斷線
5 月 11, 2026 · 1 min read
平台與維運
2026-05-10 — K8s v1.36 Volume Group Snapshot GA、Manifest-Based Admission Control Alpha
5 月 10, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x