OpenShift 4.22 加入 AI agent 接口:MCP 點樣限制 Kubernetes 權限
Tech News

OpenShift 4.22 加入 AI agent 接口:MCP 點樣限制 Kubernetes 權限

圖片:via iThome — https://www.ithome.com.tw/news/177401
TechLab 編輯部(譯)·

MCP server 同 gateway 仍屬技術預覽,企業可以先測試權限同審計設定,但未適合用喺 production

OpenShift 4.22 今次幾值得平台工程團隊留意:Red Hat 開始正式處理 AI agent 點樣接觸 Kubernetes 叢集。iThome 報道,新版加入技術預覽形式嘅 OpenShift MCP server 同 MCP gateway,agent 可以經受控介面讀取資源、維運資料同部分監控資訊。聽落似係幫 kubectl 加個聊天介面,但只要 agent 有權讀寫叢集,權限控制同操作追蹤就唔可以忽略。

MCP server 幫模型接上叢集工具

MCP,即 Model Context Protocol,可以當成 AI client 同外部工具之間嘅共通接駁方式。OpenShift MCP server 會將 Kubernetes 資源、事件、Helm、Prometheus 指標同部分 OpenShift 工具包裝成 agent 可呼叫嘅功能。當工程師問「點解呢個 deployment 起唔到」,模型可以取得叢集實際資料再整理答案,唔使靠人手逐條複製 log。不過真正 API call 仍由 MCP server 執行,模型本身唔會繞過 Kubernetes 權限系統。

呢個分工好重要。LLM 會估錯、會揀錯 API,prompt 亦可能混入惡意指令;一旦畀佢 cluster-admin,錯一次已經足以刪資源或者讀走 Secret。Red Hat 官方安裝例子推薦大部分場景先用 read-only view 權限,亦可以停用刪除工具、封鎖破壞性操作,或者只開指定 toolset。平台團隊應該由細範圍 namespace 同唯讀診斷開始,等實際使用模式清楚咗,先逐項增加可寫權限。

Gateway 係集中控制入口

當公司唔止一個 MCP server,逐個 agent 保存連線設定同憑證會好快失控。MCP gateway 擺喺 client 同各個 server 中間,以單一 endpoint 聚合工具,亦可以集中做 OAuth 2.0 身分驗證、授權同 rate limiting。Red Hat 文件亦建議用有明確 scope 嘅 token,配合 OpenShift RBAC 限定每個身分做到咩,避免 agent 因為接到一個功能,就順手攞埋整個叢集嘅鎖匙。

集中入口亦令 audit 容易做得完整。OpenShift MCP server 會喺 audit log 加入識別 AI agent 請求嘅 user-agent 字串,管理員可以分辨操作係人手、一般程式,抑或經 MCP 發出。對受監管企業,呢條紀錄鏈有實際價值:出事後可以查到邊個身分、幾時、經咩入口呼叫過 API。不過 user-agent 只係辨認線索,仍要連同 OAuth 身分、RBAC、gateway log 同 Kubernetes audit policy 一齊設計,先至足夠追查責任。

有 guardrail 都唔代表可以放手

官方安全文件寫得幾直接:MCP server 內置冇個人資料或敏感資料遮罩機制。如果 agent 有權讀某個 Custom Resource,資料就可能送到所用嘅模型或 AI client;Secret、ConfigMap、RoleBinding 同 ClusterRole 呢類資源,官方亦特別建議限制存取。Red Hat 提到可用 TrustyAI 監察同清理送出內容,但呢層要團隊自行部署同驗證,唔係裝完 MCP server 就自然有。

寫入操作同樣應該保留人手批准。Red Hat 建議喺 MCP client 啟用 human-in-the-loop,等工程師先睇 agent 提議改咩、用緊邊個 API 版本,再決定執行。呢個安排會慢少少,但 production 維運本身就唔應追求 agent 完全自主。AI 最啱先幫手搜集事件、比對設定同草擬修正,真正改動資源就跟返變更審批、最小權限同回復方案。

技術預覽只適合隔離試驗

MCP server 同 MCP gateway 都係 Technology Preview。OpenShift 4.22 官方明言,呢類實驗功能唔預計用喺 production;Connectivity Link 1.3 文件亦為 gateway 列出已知路由問題。企業可以喺測試叢集驗證唯讀排障、權限分層、audit 同 prompt injection 應對,但唔好因為見到 OAuth、RBAC 幾個字,就當整套鏈路已經成熟到可以接核心叢集。

新版另一項 AI 相關改動係 JobSet Operator 1.0 已經 GA。佢可以將多個互相關聯嘅 Kubernetes Job 當成一組管理,處理分散式訓練嘅啟動次序、穩定網絡同失敗復原。機密 AI、裸機 confidential container 同 ROSA HCP 自動擴充亦有更新,不過佢哋解決嘅係工作負載執行同資源調度;MCP 呢邊處理嘅係 agent 有冇權掂個叢集。平台團隊下一步應該先喺測試環境量度 agent 實際要用邊幾項讀取工具,再按結果收窄權限。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook