OpenCloudOS 9 - Cube Sandbox技术交流会 沐曦分享沙箱隔离方案Docker传统VMGPU沐曦N300/N260OCManager分享OCManager - 功能架构目前集群opencloudos tencentos1.集群管理2.整机监控3.命令助手4.OCAI架构----OCManager 后端vue3go----OCM_Agent 客户端 长链接----OCAI AI智能助手服务Cube Sandbox分享CubeSandbox实战教程github.com/TencentCloud/CubeSandboxssh连接命令 ssh root服务器ip -p 端口号一、安装CubeSandbox在腾讯云 CVM服务器上部署CubeSandbox之前需要先安装PVM内核才能让CubeSandbox的虚拟机跑在云服务器上。安装 PVM 内核在OpenCloudOS 9上执行dnf install -y kernel-6.6.69-1.1.cubesandbox.oc92.切换默认启动内核 配置启动参数 重启# 把刚装的 CubeSandbox 内核设为默认启动grubby --set-default /boot/vmlinuz-6.6.69-1.1.cubesandbox.oc9.x86_64# 执行成功后会有一行 The default is ... 回显不是报错# 配置 PVM 所需的内核启动参数curl -sL https://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh | bash# 重启进入内核reboot3.重启后验证内核 加载 KVM 模块# 验证内核名含 cubesandbox.oc9uname-r# 期望输出 6.6.69-1.1.cubesandbox.oc9.x86_64# 加载 PVM KVM 模块modprobe kvm_pvm# 确认模块已加载lsmod|grepkvm_pvm# 设置开机自动加载echokvm_pvm/etc/modules-load.d/kvm-pvm.conf4.安装 Cube Sandboxcurl-sL https://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh \|CUBE_PVM_ENABLE1MIRRORcn bash5.测试验证能运行执行以下命令如果可以正确执行完并且cubemastercli tpl list看到模板状态为READY即说明 CubeSandbox 已可正常工作cubemastercli tplcreate-from-image \--image cube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest \--writable-layer-size 1G \--expose-port 49999 \--expose-port 49983 \--probe 49999二、体验CubeSandbox WebUICubeSandbox 提供了一个简洁美观的 WebUI便于管理员管理沙箱实例与模板。本实验后续操作都将在 WebUI 中完成。项目信息WebUI 地址http://机器ip:12088默认账号admin默认密码admin配置数字助手1配置 LLM 模型服务设置 AI API key在弹窗中填写字段信息ProviderOpenAI CompatibleLLM Base URLhttps://newapi-2607.cubesandbox.com/v1模型 IDhy3-previewLLM API KeyAI Key凭证交付方式凭证托管推荐在应用市场中选择 OpenClaw 镜像安装到数字助手。等待模板制作完成。在弹窗中为 OpenClaw 实例起一个名字并将状态管理模式设置为完整快照型。随后等待数字助手创建完成需要初始化 OpenClaw 网关约几秒钟。体验三大核心能力快照、克隆、回滚1核心功能一体验快照让OpenClaw往/root/a.txt写入一段文字然后创建快照。发送以下prompt到OpenClaw 对话框往“/root/a.txt写入 ”测试消息111“。然后cat 一下文件给我。2核心功能二体验克隆、创建分身CubeSandbox 支持把同一个实例秒级克隆为多个数字分身在状态管理中点击 创建分身。分身创建完成后关闭弹窗可以看到首页看到创建好的“分身”卡片。点击分身的 Gateway 管理 进入它的对话页面会发现 历史对话记录与原始实例完全一致——这正是快照-克隆语义的直观体现。接下来在分身里发送往“/root/b.txt写入 ”我是分身“。然后cat 一下文件给我。执行成功后回到原始实例的对话框里面输入帮我看看/root/b.txt这个文件内容。可以发现 /root/b.txt 在原始实例中并不存在 ❌。这说明分身和原实例已是完全独立、互不影响的两套环境。3核心功能三体验回滚实战中可能会因为种种原因OpenClaw 损坏了自身的环境或者误删了文件。我们可以通过借助 CubeSandbox 的回滚功能来恢复可以一键把实例还原到任意历史快照。