鲲鹏面对Agentic沙箱的思考与能力布局
Agent在今年迎来爆发式增长,传统云原生架构在Agent沙箱场景下面临启动慢、弹性差、资源冗余、隔离不足等五大痛点。鲲鹏沙箱以快照快启、共享Rootfs、超节点共享内存三大核心技术破局——将沙箱启动从分钟级压缩至毫秒级,通过写时复制(CoW)实现多实例镜像层零冗余共享,依托鲲鹏超节点架构进一步释放内存潜力,为Agent高弹性、高并发、高安全的云原生运行环境提供全新底座。
特性介绍
极速冷启动:
鲲鹏沙箱引入快照技术,在沙箱首次初始化完成后捕获完整运行时状态快照。后续实例启动时直接从快照恢复,跳过全部初始化流程,实现沙箱启动从分钟级提升到毫秒级。为进一步降低I/O压力,鲲鹏沙箱结合Lazy Loading机制,按需以页为单位从存储层分页加载至内存,削减大量并发启动瞬间的I/O峰值,避免对存储系统造成冲击。
高密度部署
鲲鹏沙箱采用共享Rootfs设计,多实例共用同一套只读基础镜像层。所有实例的读操作直接命中共享的只读层,写操作则通过写时复制(Copy-on-Write, CoW)技术定向至各自独立的可写层。
容易对接Agent:
鲲鹏沙箱通过可编程式SDK接口,Agent应用可方便通过实时脚本代码控制和操作沙箱。
开箱即用:
鲲鹏沙箱提供单节点和集群的一键部署能力,降低运维门槛。
毫秒级快照回滚:
基于内存快照技术,存储某时刻的内存状态,新实例只需将内存页映射到地址空间,跳过初始化流程。
鲲鹏超节点架构增强:
超节点内多个计算节点通过高速互联网络构成统一内存池,沙箱快照页、共享Rootfs页可在超节点范围内全局可见、按需调度。
优势分析
毫秒级启动,支撑实时弹性
基于快照技术的鲲鹏沙箱冷启动耗时低于100毫秒。相较传统开源方案分钟级启动,鲲鹏沙箱可实现请求即获得。
减小镜像冗余,提升存储效率
通过共享Rootfs + CoW隔离,在千级Agent实例并发场景下,存储层仅需维护只读基础镜像,相较传统方案千份冗余存储,存储占用降低超80%。CoW写层仅记录实例差异化数据,有效抑制写放大问题。
内存全局复用,超节点级优化
鲲鹏沙箱通过共享Rootfs页缓存 + 超节点共享内存,实现全局单份加载、多实例共享访问,跨节点内存池的统一调度进一步提升内存利用率。
安全隔离强化,运行时可信
内核级隔离相比容器提供更加安全的运行环境。
上手教程
单节点部署
步骤1:下载并安装:
https://eulermaker.openeuler.openatom.cn/package/download?osProject=2403sp3&packageName=e2b-infra
rpm -ivh e2b-infra-2026.09-3.oe2403sp3.aarch64.rpm
步骤2:修改配置
修改配置:/opt/e2b-infra/dep/.envSERVER_IP=本机地址# 当前集群server节点的ip,空格分隔(server节点为nomad的server端运行所在的节点)exportDEPLOY_MODE=nomadexportNUM_SERVERS=1# 当前集群server节点的个数exportREGISTRY_URL="{ip}:{port}/{repository_name}"# harbor仓库地址,默认值为 REGISTRY_URL=$SERVER_IP:2900/e2b-orchestration,即harbor默认端口为2900exportPOSTGRES_CONNECTION_STRING="postgresql://{username}:{password}@{ip}:{port}/{database_name}?sslmode=disable"# postgres数据库地址,默认值为postgresql://postgres:local@$SERVER_IP:5432/mydatabase?sslmode=disableexportHARBOR_HOST="{ip}:{port}"# harbor仓库地址,默认$SERVER_IP:2900,端口2900
步骤3:启动
1.进入“/opt/e2b-infra”目录。
cd/opt/e2b-infra2.下载依赖组件。如遇网络问题可手动下载相关依赖并上传至“/opt/e2b-infra/dep”目录。
bash build.sh --downloadarm64所需依赖包如下所示(详见build.sh脚本download_packages函数):
3.安装,安装过程需要拉取Docker镜像,如遇网络问题可使用Docker代理进行手动拉取。在执行start启动服务之前需将Docker代理关掉。
bash build.sh --installDocker镜像需要如下所示(详见build.sh脚本pull_docker_images函数):
4. 启动服务。
bash build.sh --start说明:
如启动失败,则先执行--stop并且--uninstall,再尝试重新--start启动服务。
bash build.sh --stopbash build.sh --uninstall
build.sh默认配置参数说明
Agent时代的到来,不仅对智算场景,也对通算场景提出了更高的要求,特别是对传统云原生架构带来巨大的挑战。Agent沙箱既要解决安全隔离带来的性能损耗,也要处理好高并发产生的资源争抢,鲲鹏将持续深耕Agent原生基础设施,推动沙箱标准的开放与生态的统一,与行业伙伴共建Agent时代的云原生新底座。