Virtbench:填補 Kubernetes VM 工作負載監控缺口的 KubeVirt 效能基準工具
CNCF Blog · 2026-06-08
Portworx 開源的 Virtbench 是一套針對 KubeVirt 叢集設計的 CLI 基準工具,解決既有 Kubernetes 可觀測性工具在 VM 工作負載上的根本誤配:容器的 pod/Running 就緒訊號對 VM 客戶作業系統毫無意義,標準 Prometheus 指標也無法正確量化 VM 的啟動延遲與遷移代價。
三個關鍵指標
- Time-to-Ready:從 API 呼叫到客戶作業系統可透過 SSH 存取的掛鐘時間,不是
pod/Running的時間戳 - Burst Capacity:並發建立多台 VM 時 control plane 與儲存系統的表現,壓測 CSI 同時 provision 多個 PVC
- Live Migration Stun Time:VMI 跨節點即時遷移期間,網路中斷的實際持續時間——傳統 vMotion 環境通常在毫秒內,overlay 網路上則可能更長
架構設計
Virtbench 採用用戶端協調模型加叢集內 helper pod:CLI 工具提交 VirtualMachine 物件到 API,追蹤 VMI 狀態轉換,並以 SSH probe 驗證客戶端網路就緒;結果輸出為 JSON、CSV 與互動式 HTML dashboard。這個設計讓基準測試可在任何標準 Kubernetes 叢集上重現,不依賴特定 CNI 或儲存後端。
uv 新增 CVE 掃描與惡意套件偵測
Astral 宣布 uv audit 指令正式可用,透過 OSV(Open Source Vulnerabilities)資料庫掃描已知 CVE,速度比 pip-audit 快 4–10 倍。另有選用的惡意套件偵測整合進 uv add、uv sync 等指令,以 UV_MALWARE_CHECK=1 啟用;系統查詢 OSV 的 MAL advisory,在惡意程式碼執行前終止安裝。
作者強調惡意套件與一般 CVE 的處理方式不同:惡意相依套件通常需要主動的補救行動(如輪替憑證),因為它們可能已執行過;而非只是被動更新版本。兩個功能目前仍為 preview 狀態,設定可寫入 uv.toml 或 pyproject.toml。
CNCF CI/CD 供應鏈安全系列
CNCF 發布開源專案 CI/CD 供應鏈安全系列第一篇,聚焦「誰有權觸發哪些工作流程」。核心威脅是外部 PR 觸發具有 repository secret 存取權的 CI 工作,建議對 fork 的 PR 採用 pull_request_target 的受限執行環境,並以 OIDC token 替代長效 secret。
原始來源:CNCF — Virtbench、Astral — uv audit、CNCF — CI/CD Supply Chain Security