虚拟机 & 容器 多租户智能体的沙箱设计方案

多租户智能体沙箱设计，本质是在共享基础设施上为不同租户的AI Agent提供相互隔离、安全可控的执行环境。核心目标包括：防止数据泄露与越权访问、隔离恶意代码对宿主系统的破坏、精确限制资源使用上限、确保全程可审计可追溯。

相比传统多租户SaaS，AI Agent沙箱面临三维度独特挑战。安全方面，LLM生成的代码本质不可信，可能含破坏性指令、窃取敏感环境变量或发起内网攻击，沙箱逃逸将威胁整个平台。性能方面，Agent交互需保持会话状态，冷启动须控制在毫秒级，不同任务需完全不同的依赖库环境。成本方面，Agent调用具稀疏性和突发性，独占VM成本高，传统FaaS则缺乏状态保持能力。

单一隔离技术难同时满足安全与性能，业界采用纵深防御策略：

**Namespace + cgroups**：进程级“可见性隔离”加资源限制，但共享内核存在逃逸风险，适用于同租户内单Agent隔离。

**安全容器（Kata Containers）**：容器运行于独立轻量VM中，兼具容器便利性与VM安全性，适合多租户不可信代码执行。

**微虚拟机（Firecracker）**：独立内核隔离，冷启<150ms，极低开销，是Agent沙箱首选技术。

**传统VM**：隔离强但启动慢、开销高，仅适用于强合规非延迟敏感场景。

典型纵深防御架构：用户请求经API Gateway认证鉴权，进入租户控制平面调度，沙箱采用Kata/MicroVM，内部Agent进程受namespace+seccomp限制，代码执行再以chroot/白名单进一步约束。

架构模式上，主流采用控制平面与数据平面解耦。控制平面负责沙箱生命周期管理、鉴权、调度和API路由，引入异步配置避免高并发超时。数据平面由沙箱实例组成，每个Agent拥有独立持久化容器，工作空间挂载于内部，与宿主机完全隔离。Gateway中心控制模式通过中央Gateway统一管理Agent，集中式数据库存储会话状态，以行级安全策略实现数据隔离。

核心能力设计方面：

**不可信代码执行隔离**：划定信任边界——受信任Agent Loop持有业务逻辑与密钥，不受信任Sandbox仅持有租户环境级密钥，受信部分绝不在不受信环境暴露敏感信息。

**网络隔离与出口控制**：Network Namespace分配独立虚拟网络，结合防火墙防横向移动。精细策略包括：允许PyPI但阻止其他出站、允许HTTPS但拦截原始Socket。容器层与MicroVM层双重防护。

**凭证与密钥管理**：敏感凭证加密管理，不写入沙箱环境变量，通过外部密钥服务动态注入，配合全链路审计日志。

**资源管控**：会话亲和机制通过Header/Cookie将同会话请求路由至同一沙箱，保持变量数据。cgroups层级控制器限制CPU、内存、磁盘IO，tc限制网络流量，硬超时机制自动杀死死循环进程。弹性伸缩利用Serverless按需创建释放沙箱，Kubernetes支撑水平/垂直伸缩。

**状态管理与持久性**：两种策略——持久文件系统模式在会话期间保持依赖包与中间产物，挂载专属NAS子目录，UID/GID权限隔离；快照与分叉模式将沙箱状态保存为快照，从快照分叉新实例，适用于MCTS等复杂推理场景。

**网络访问控制**遵循最小权限原则：完全隔离用于纯计算；白名单模式允许指定域名/端口用于依赖安装；HTTPS-only允许加密出站用于调用外部API；受限访问允许出站但限制内网。

**文件系统与存储隔离**贯穿计算层与数据层：计算层通过Mount Namespace实现独立根文件系统视图；数据层如阿里云动态挂载NAS至专属子目录，会话销毁自动解绑。

**全链路可观测性**要求：行为追踪记录Agent每一步决策与操作；成本归因追踪LLM Token与API调用至具体租户和任务；操作审计全链路追溯以满足合规要求。

多租户智能体沙箱设计可归纳为“隔离为基、状态为本、可观测为镜”三层架构。技术选型上：追求极致安全选Firecracker微虚拟机；优先生态兼容与运维成熟度选Kata Containers+Kubernetes；注重弹性伸缩与按量付费选云厂商Serverless沙箱服务；轻量阶段用Docker+Namespace+seccomp即可快速搭建。

# ==========================================
# 多租户智能体沙箱调度与管理逻辑
# ==========================================

# 1. 初始化所有可用沙箱节点（基于您提供的URL）
# 每5个城市为一组，用于跨区域容灾
SANDBOX_NODE_GROUPS = [
    # 第1组：华北-华东
    ["bj.jcku.cn", "sh.jcku.cn", "gz.jcku.cn", "shz.jcku.cn", "hz.jcku.cn"],
    # 第2组：西南-华中
    ["cd.jcku.cn", "cq.jcku.cn", "wh.jcku.cn", "nj.jcku.cn", "sz.jcku.cn"],
    # 第3组：西北-东部沿海
    ["xa.jcku.cn", "tj.jcku.cn", "cs.jcku.cn", "zz.jcku.cn", "qd.jcku.cn"],
    # 第4组：东南沿海
    ["nb.jcku.cn", "hf.jcku.cn", "fz.jcku.cn", "xm.jcku.cn", "jn.jcku.cn"],
    # 第5组：东北
    ["sy.jcku.cn", "dl.jcku.cn", "heb.jcku.cn", "km.jcku.cn", "gy.jcku.cn"],
    # 第6组：南部-中部
    ["nn.jcku.cn", "nc.jcku.cn", "ty.jcku.cn", "sjz.jcku.cn", "dg.jcku.cn"]
]

# 全局配置：纵深防御安全等级
class SecurityConfig:
    ISOLATION_MODE = "Firecracker" # 微虚拟机隔离
    NETWORK_POLICY = "WHITELIST"   # 网络白名单模式
    ENABLE_SECCOMP = True         # 开启系统调用过滤

# --- 方法：处理租户请求 ---
def handle_agent_request(tenant_id, agent_id, task_code):