OpenCloudOS加CubeSandbox实战教程
**OpenCloudOS加CubeSandbox实战教程**本次参加了OC和Cube Sandbox组织的龙虾与沙箱实战项目体会了在AiAgent安全问题下沙箱所带来的风险管控和便利它比以往的docker和虚拟机更具优势开机只需60ms,还附带便捷的回滚/拍照/分身功能对于企业来说他更安全更好用。以下是龙虾搭配沙箱的安装结果及过程整体用Windows自带的shell安装即可安装下来整体还算顺利以下是过程可供参考。本次实操我们将手把手带大家在 腾讯云 CVM 上完成 CubeSandbox 的一键部署并在 WebUI 中通过数字助手亲自体验 CubeSandbox 的三大硬核能力——快照Snapshot、克隆Clone、回滚Rollback。本环节运行于 OpenCloudOS 9 操作系统由 沐曦 提供算力支持为大家带来流畅、稳定的实操体验。 如果大家觉得 CubeSandbox 项目还不错记得到 GitHub 仓库给项目点个 Star github.com/TencentCloud/CubeSandbox 现场提示腾讯云 CVM 服务器与 API Key 已在签到处统一发放请在入场时领取确保实操环节即刻开练。ssh连接命令 ssh root服务器ip -p 9888一、安装 CubeSandbox在腾讯云 CVM 服务器上部署 CubeSandbox 之前需要先安装 PVM 内核才能让 CubeSandbox 的虚拟机跑在云服务器上。1.安装 PVM 内核在 OpenCloudOS 9 上执行dnf install -y kernel-6.6.69-1.1.cubesandbox.oc92.切换默认启动内核 配置启动参数 重启把刚装的 CubeSandbox 内核设为默认启动grubby --set-default /boot/vmlinuz-6.6.69-1.1.cubesandbox.oc9.x86_64执行成功后会有一行 The default is … 回显不是报错配置 PVM 所需的内核启动参数curl -sL https://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh | bash重启进入内核reboot3.重启后验证内核 加载 KVM 模块验证内核名含 cubesandbox.oc9uname -r期望输出 6.6.69-1.1.cubesandbox.oc9.x86_64加载 PVM KVM 模块modprobe kvm_pvm确认模块已加载lsmod | grep kvm_pvm设置开机自动加载echo ‘kvm_pvm’ /etc/modules-load.d/kvm-pvm.conf4.安装 Cube Sandboxcurl -sL https://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh| CUBE_PVM_ENABLE1 MIRRORcn bash5.测试验证能运行执行以下命令如果可以正确执行完并且cubemastercli tpl list看到模板状态为 READY即说明 CubeSandbox 已可正常工作cubemastercli tpl create-from-image–image cube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest–writable-layer-size 1G–expose-port 49999–expose-port 49983–probe 49999二、体验 CubeSandbox WebUICubeSandbox 提供了一个简洁美观的 WebUI便于管理员管理沙箱实例与模板。本实验后续操作都将在 WebUI 中完成。项目 信息WebUI 地址 http://机器ip:12088默认账号 admin默认密码 admin登录后可在首页查看正在运行的沙箱以及已制作的沙箱模板。三、体验数字助手通过数字助手功能亲手体验 CubeSandbox 的快照、克隆、回滚三大能力。1.安装数字助手进入数字助手页面1配置 LLM 模型服务设置 AI API key在弹窗中填写字段 信息Provider OpenAI CompatibleLLM Base URL https://newapi-2607.cubesandbox.com/v1模型 ID hy3-previewLLM API Key凭证交付方式 凭证托管推荐 安全提示点击保存后这个 key 将由 CubeEgress 进行托管沙箱内接触不到真实密钥确保了密钥的安全。2选择助手镜像关闭弹窗点击去应用市场。在应用市场中选择 OpenClaw 镜像安装到数字助手。等待模板制作完成。在弹窗中为 OpenClaw 实例起一个名字并将状态管理模式设置为 完整快照型。随后等待数字助手创建完成需要初始化 OpenClaw 网关约几秒钟。2.体验三大核心能力快照、克隆、回滚实例创建好后点击卡片底部的 “Gateway 管理” 按钮跳转到 OpenClaw 的对话 WebUI。在底部模型选择器中选择 hy3-preview 模型。先发一条消息验证 OpenClaw 是否能正常响应1核心功能一体验快照让 OpenClaw 往 /root/a.txt 写入一段文字然后创建快照。发送以下 prompt 到 OpenClaw 对话框往“/root/a.txt写入 ”测试消息111“。然后cat 一下文件给我。可以看到 OpenClaw 已成功创建文件并且正确写入了内容。接着回到 CubeSandbox WebUI点击实例卡片上的 “管理”进入状态管理页面点击 “创建存档” 即可为当前 OpenClaw 实例打一份快照。2核心功能二体验克隆、创建分身CubeSandbox 支持把同一个实例秒级克隆为多个数字分身在状态管理中点击 “创建分身”。分身创建完成后关闭弹窗可以看到首页看到创建好的“分身”卡片。点击分身的 “Gateway 管理” 进入它的对话页面会发现 历史对话记录与原始实例完全一致——这正是快照-克隆语义的直观体现。接下来在分身里发送往“/root/b.txt写入 ”我是分身“。然后cat 一下文件给我。执行成功后回到原始实例的对话框里面输入帮我看看/root/b.txt这个文件内容。可以发现 /root/b.txt 在原始实例中并不存在 ❌。这说明分身和原实例已是完全独立、互不影响的两套环境。3核心功能三体验回滚实战中可能会因为种种原因OpenClaw 损坏了自身的环境或者误删了文件。我们可以通过借助 CubeSandbox 的回滚功能来恢复可以一键把实例还原到任意历史快照。在原始实例的对话框中执行误操作帮我删除/root/a.txt随后再确认看看/root/a.txt还在不在会发现文件已被删除 ❌ 。接下来体验回滚好在我们前面已经创建过快照因此可以直接回滚。请回到 CubeSandbox 控制台点击原始实例的 “管理” 进入状态管理。选中之前创建的存档点击右侧的 “回档”几乎瞬间就会提示回档成功。验证回档结果再次点击原始实例的 “Gateway 管理” 进入对话页面可以看到对话历史已经回退到打快照那一刻“删除 /root/a.txt” 的对话记录也消失了。最后在对话框中输入帮我看看这个文件/root/a.txt在不在OpenClaw 会告诉你——文件已经回来了 ✅。环境被完整复原。附●CubeSandbox 仓库链接https://github.com/TencentCloud/CubeSandbox●OpenCloudOS 仓库链接https://gitee.com/OpenCloudOS●CubeSandbox 小助手