在普通腾讯云 OpenCloudOS 9.4 上把 Cube Sandbox PVM 整套打通——5 条命令、3 分钟含 76 ms 冷启动 隔离实测腾讯云普通云服务器非裸金属、/proc/cpuinfo没有 vmx/svm、/dev/kvm不存在靠dnf install kernel-*.cubesandbox.oc9 一行online-install.sh CUBE_PVM_ENABLE13 分钟搞定 Cube Sandbox PVM 部署实测冷启动 avg 68.4 ms / p90 72.9 ms / min 61.6 ms全程 5 条核心命令。0. 我手里这台机器到底有没有资格跑很多文章一上来就docker run但 Cube Sandbox 不是 Docker——它要KVM。所以第一步必须先体检我这台机器到底开不开得动sshroot1.13.163.22# 本次测试的腾讯云服务器 IPcat/etc/os-release|head-8uname-rlscpu|egrepModel name|^CPU\(s\)|Hypervisor|Virtualizationfree-hls-l/dev/kvm21egrep-ovmx|svm/proc/cpuinfo|sort-udf-h/读一下这张图里最关键的两行 5) /dev/kvm ls: cannot access /dev/kvm: No such file or directory 6) CPU 虚拟化标志 空也就是说✅OpenCloudOS 9.4 / 内核 6.6.119 / 8 vCPU / 15Gi RAM / 200G 磁盘——硬件够用❌/dev/kvm不存在、/proc/cpuinfo里没有vmx也没有svm——云厂商把硬件虚拟化扩展屏蔽了。按官方 README 上来直接online-install.sh必定挂在 preflight。让我顺手验证一下这件事——读一下官方一键脚本里的 KVM 检查grep-n-Ekvm|pvm/root/online-install.sh|head-1071: if [[ ! -e /dev/kvm ]]; then 73: echo ERROR: PVM mode is enabled (CUBE_PVM_ENABLE1), but /dev/kvm was not found. 77: echo For the full setup flow, see: .../guide/pvm-deploy.html 80: echo ERROR: KVM is not supported or not enabled (/dev/kvm not found).预检查会硬卡。但官方文档里其实给了第三条路「普通云服务器用户无需裸金属——安装 PVM 宿主机内核即可在普通云服务器上启用 KVM 能力」。这就是我们要走的路线。1. 五分钟看懂 PVM 是个什么玩意PVM Pagetable-based Virtual Machine是腾讯云开源到 OpenCloudOS 内核里的「基于页表的嵌套虚拟化」实现。它的精髓在不依赖宿主 hypervisor 把 vmx/svm 暴露给 guest而是通过共享内存 影子页表在内核态做特权切换。对外层 hypervisor 完全透明。通俗一句话你的云服务器即使被云厂商屏蔽了硬件虚拟化PVM 内核也能在里面偷偷虚拟出一层把/dev/kvm自己造出来。这层之上 Cube Sandbox 才能跑 MicroVM。而最爽的是PVM 宿主机内核包已经直接进 OpenCloudOS 9 官方 yum 仓库一行dnf install搞定不用去 Releases 页面右键复制链接dnf list availablekernel*cube*extras仓库里有现成的kernel-6.6.69-1.1.cubesandbox.oc9正好对应 PVM 宿主内核。这就是 OpenCloudOS 9 的快捷路径——其它发行版还得 wget rpm grubby 一通操作。2. 装内核 → 切默认 → 配 GRUB → reboot三条命令# 1) 装 PVM 宿主内核dnfinstall-ykernel-6.6.69-1.1.cubesandbox.oc9\kernel-core-6.6.69-1.1.cubesandbox.oc9\kernel-modules-6.6.69-1.1.cubesandbox.oc9# 2) grubby 自动把默认指向新内核dnf 已经帮我们做了grubby --default-kernel# /boot/vmlinuz-6.6.69-1.1.cubesandbox.oc9.x86_64 ✅# 3) 给 grub 配 PVM 必需的启动参数iommupt / cgroup.memorynokmem 等curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh|bash# 4) 重启reboot重启回来——内核切到 cubesandbox但/dev/kvm还没有因为kvm_pvm模块没自动加载。手动modprobe 写/etc/modules-load.d/modprobe kvm_pvm lsmod|grepkvmls-l/dev/kvmechokvm_pvm/etc/modules-load.d/kvm-pvm.conf看到没——kvm_pvm 49152 0加载成功crw-rw-rw- 1 root kvm 10, 232 /dev/kvm凭空出现。普通云服务器从此有了 KVM 能力。这一刻其实就是整个部署最魔幻的瞬间。3. 一键安装 Cube Sandbox关键就一个环境变量普通版安装命令curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh|MIRRORcnbashPVM 版只多一个CUBE_PVM_ENABLE1curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh\|CUBE_PVM_ENABLE1MIRRORcnbash为什么这个变量必须传官方文档讲得很清楚发布包里有两份 guest 内核——vmlinux普通版和vmlinux-pvmPVM 版。CUBE_PVM_ENABLE1告知安装脚本将 PVM guest 内核覆盖安装为运行时使用的vmlinux。不设置则默认普通 guest 内核PVM 不会生效。我把这条放后台跑本地轮询日志不然 SSH 卡 3 分钟太难受nohup/root/run_install.sh/dev/null/dev/null21# 大约 3 分钟后 …cat/root/install.done# 0 ✅这张图摘录了安装日志里的关键里程碑Pre-download preflight checks passed—— PVM 模式下/dev/kvm检查通过CN mirror latest asset: …v0.2.2/cube-sandbox-one-click-46424e7.tar.gz—— 走 CDN 镜像438 MBinstalled PVM guest kernel as …/cube-kernel-scf/vmlinux——关键日志PVM guest 内核已就位Container cube-sandbox-mysql / redis / cube-proxy-coredns Started—— 控制面组件起来started cubemaster pid7884 / cube-api pid7885 / cubelet pid7886—— 数据面组件起来[quickcheck] OKwebui listening on 12088[one-click] install complete (rolecontrol)整个 v0.2.2 包从下载到 5/5 quickcheck OK实测 3 分钟整比裸金属买机器的速度快。装完看一眼健康体检四件该有的全有CUBE_PVM_ENABLE1写进了.one-click.envkvm_pvm在lsmod里4 个 cli 命令链接到/usr/local/bin/cubecli/cubemastercli/cube-runtime/containerd-shim-cube-rs4 个端口正常监听cubemaster:8089 / cube-api:3000 / network-agent:19090 / webui:120884. 制作代码解释器模板18 秒到 READY模板就是「沙箱启动时用的镜像 配置」可以理解为 Docker 里的 image但底层是 MicroVM 的 rootfs snapshotcubemastercli tpl create-from-image\--imagecube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest\--writable-layer-size 1G\--expose-port49999\--expose-port49983\--probe49999cubemastercli tplwatch--job-idjob_id我这次拿到的template_id tpl-6c8afd4059dc4736ac327a11watch 走完 7 个阶段PULLING → DOWNLOADING → EXTRACTING → CREATING_TEMPLATE → READY只花了 18 秒比 docker pull 同等大小的镜像还快——因为底层用的是 RustVMM 的 rootfs 增量分发不是 docker layer。5. 第一个沙箱 10 次冷启动 benchmark官方文档说E2B_API_KEYdummy——但e2b SDK 2.25.1 已经强校验格式dummy 会被前端校验拦下。这是文档没跟上 SDK 升级的真实坑e2b.exceptions.AuthenticationException:Invalid API keyformat:expectede2b_followed byhexcharacters把 key 改成e2b_ 40 个 0 就能过exportE2B_API_URLhttp://127.0.0.1:3000exportE2B_API_KEYe2b_0000000000000000000000000000000000000000exportCUBE_TEMPLATE_IDtpl-6c8afd4059dc4736ac327a11exportSSL_CERT_FILE/root/.local/share/mkcert/rootCA.pem然后跑 hello 10 次连续冷启动importos,timefrome2b_code_interpreterimportSandbox# 1) 单次 hellot0time.time()withSandbox.create(templateos.environ[CUBE_TEMPLATE_ID])assb:print(fcreated in{(time.time()-t0)*1000:.0f}ms)print(sb.run_code(import platform; print(platform.release())).logs.stdout)# 2) 10 次冷启动取分位costs[]for_inrange(10):t0time.time()sbSandbox.create(templateos.environ[CUBE_TEMPLATE_ID])costs.append((time.time()-t0)*1000)sb.kill()实测结果指标实测值官方宣称单次冷启动76 ms 60 ms裸金属min61.6 ms—avg68.4 ms60 ms (单并发) / 67 ms (50 并发裸金属)p5069.5 ms—p9072.9 ms90 ms (P95)max77.0 ms—guest 内核6.6.69-cube.pvm.guest.005.x—guest hostnametpl-6c8a—guest pid in init9—注意第二行 guest 内核——它跟我宿主机的6.6.69-1.1.cubesandbox.oc9.x86_64不是同一个内核版本。-cube.pvm.guest后缀说明这是裁剪过的 guest 内核跟 PVM host 内核分别编译。这是「真·内核级隔离」的硬证据。这组数据是普通腾讯云 CVM (AMD EPYC 9K65 / 8 vCPU / 15 GiB) 上跑出来的不是裸金属能压到 60-80 ms 的区间已经基本兑现了官方的 60 ms 承诺。6. evil.py4 项隔离实战看 PVM 拦得住什么光有性能不是沙箱的卖点隔离才是。我写了一个小脚本往沙箱里灌 4 类恶意操作看宿主有没有被穿透测试操作期望T1读自己的 hostname / kernel / cpu countguest 是独立身份T2写/etc/hostname、读/host、读/proc/1/root/etc/shadowrootfs 只读、宿主路径不可见T3bytearray(4 GiB)模板只配 2 GiB触发 OOMT4connect()169.254.169.254云元数据/ 宿主 10.206.0.11 / 8.8.8.8 / baidu.com内网拦、公网通逐条解读[host] 宿主 hostname: VM-0-11-opencloudos [host] 宿主 kernel : 6.6.69-1.1.cubesandbox.oc9.x86_64 T1 沙箱内部身份 [guest] hostname tpl-6c8a ← 完全不是宿主名 [guest] kernel 6.6.69-cube.pvm.guest.005.x ← 不同内核版本 [guest] cpu count 2 ← 不是宿主的 8T1身份完全隔离连 cpuinfo 看到的核数都被裁到 2——和模板规格2C2000M对得上。 T2 试图触碰宿主敏感文件 [guest] / 下[.container_ro, .container_rw, .dockerenv, bin, ...] [guest] 写 /etc/hostname被拒 - OSError [Errno 30] Read-only file system [guest] 读 /host: 被拒 - FileNotFoundError [guest] 读 /proc/1/root/etc/shadow: ok? root:*:20486:0:99999:7:::\n…T2rootfs 默认 RO要写得显式申请 writable layer/host这种经典逃逸路径根本不存在/proc/1/root/etc/shadow能读出来——但仔细看那是 guest 自己的 init 进程的 root 视图里面是 guest 的 shadow密码字段全是*占位锁定状态不是宿主的。这恰好印证了guest 是独立内核 独立 /proc不是 namespace 共享。 T3 内存炸弹 (malloc 4 GiB模板只给 2 GiB) [guest] MemoryError -T34 GiB 直接MemoryErrorOOM 没有泄漏到宿主——硬性内存上限是 hypervisor 层强制的。 T4 网络越权探测 [guest] 169.254.169.254:80 - TimeoutError: timed out ← 云元数据被拦 [guest] 10.206.0.11:22 - TimeoutError: timed out ← 宿主 SSH被拦 [guest] 8.8.8.8:53 - 可达 [guest] baidu.com:80 - 可达T4 是最值得展开的一条。CubeSandbox 默认通过 CubeVS基于 eBPF 的虚拟交换机实现了一份开箱即用的 deny 列表10.0.0.0/8100.64.0.0/10172.16.0.0/12192.168.0.0/18等于把整个内网包括云元数据和宿主自身默认堵死。所以169.254.169.254云元数据AWS/腾讯云通用→ ⛔ 拦下10.206.0.11我宿主自己→ ⛔ 拦下8.8.8.8 / baidu.com → ✅ 公网放行LLM 生成的代码即使想试探我跑在哪个云、有没有 IAM 凭证可偷都没辙。这一条对 Agent 场景太关键了——很多 prompt injection 的攻击面第一步都是去摸云元数据。7. 5 条命令复盘在普通云服务器上把 Cube Sandbox 跑起来回到开头的承诺——「5 条命令3 分钟」。把所有正餐操作捋一遍确实就是 5 条# 1) 装 PVM 宿主内核dnf install kernel-...cubesandbox.oc9dnfinstall-ykernel-6.6.69-1.1.cubesandbox.oc9 kernel-core-6.6.69-1.1.cubesandbox.oc9 kernel-modules-6.6.69-1.1.cubesandbox.oc9# 2) 配 grub rebootcurl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh|bashreboot# 3) 加载 kvm_pvm 模块一次性 开机自加载modprobe kvm_pvmechokvm_pvm/etc/modules-load.d/kvm-pvm.conf# 4) 一键安装CUBE_PVM_ENABLE1curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh|CUBE_PVM_ENABLE1MIRRORcnbash# 5) 创建模板 watchcubemastercli tpl create-from-image--imagecube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest --writable-layer-size 1G --expose-port49999--expose-port49983--probe49999跑完这 5 条本机就有了一个 E2B 兼容的、60-80 ms 冷启动、硬件级 eBPF 网络隔离的代码沙箱服务。8. 几个值得记下来的踩坑笔记#现象根因解决1/dev/kvm不存在普通云服务器屏蔽了硬件虚拟化扩展lscpu 看不到 vmx/svm装 PVM 宿主内核2uname -r切到 cubesandbox 后/dev/kvm还没有kvm_pvm模块没自动加载modprobe kvm_pvm 写modules-load.d3install 日志看到using ordinary guest kernel.env里CUBE_PVM_ENABLE0覆盖了环境变量用 online-install 走CUBE_PVM_ENABLE1或sed -i s/0/1/ .env4Sandbox.create()报Invalid API key formate2b SDK 2.25.x 升级后强校验e2b_40hex把dummy换成e2b_0000…00005第一次 create 报template have no kernel component模板池2C2000M.tmp预热的瞬态错误重试一次即可后续都 60-80 ms 稳定9. 写在最后我对这次部署最大的意外感在于两件事OpenCloudOS 9 把 PVM 内核包直接进了 yum 仓库省掉了去 Releases 页面右键复制 wget 链接的整段操作。这是 Cube Sandbox 团队和 OpenCloudOS 社区把工程化做透了的体现。其它发行版还需要手动下 rpm/debOpenCloudOS 只要dnf install一行——这是真正的快捷路径。PVM 在普通云服务器上的代价几乎为零。我以为嵌套虚拟化会有 30-50% 的性能损耗但 60-80 ms 的冷启动数据告诉我PVM 的影子页表方案在 Sandbox 这种短生命周期 高密度的场景下性能反而比传统嵌套虚拟化好得多。如果你也在做 AI Agent正纠结代码到底跑在哪儿才安全——别再让大模型生成的脚本直接跑在你机器上了也别再为了上 Firecracker 去找裸金属了。一台 50 块钱一个月的普通腾讯云轻量服务器5 条命令3 分钟你就能拥有一个产线级的硬件隔离沙箱。文中所有日志、命令、截图均为本次实测真实记录服务器规格1.13.163.22 / OpenCloudOS 9.4 / AMD EPYC 9K65 / 8 vCPU / 15 GiB RAM部署时间 2026-06-01 20:00 ~ 20:08含 reboot 和模板下载。
在普通腾讯云 OpenCloudOS 9.4 上把 Cube Sandbox PVM 整套打通——5 条命令、3 分钟,含 76 ms 冷启动 + 隔离实测
在普通腾讯云 OpenCloudOS 9.4 上把 Cube Sandbox PVM 整套打通——5 条命令、3 分钟含 76 ms 冷启动 隔离实测腾讯云普通云服务器非裸金属、/proc/cpuinfo没有 vmx/svm、/dev/kvm不存在靠dnf install kernel-*.cubesandbox.oc9 一行online-install.sh CUBE_PVM_ENABLE13 分钟搞定 Cube Sandbox PVM 部署实测冷启动 avg 68.4 ms / p90 72.9 ms / min 61.6 ms全程 5 条核心命令。0. 我手里这台机器到底有没有资格跑很多文章一上来就docker run但 Cube Sandbox 不是 Docker——它要KVM。所以第一步必须先体检我这台机器到底开不开得动sshroot1.13.163.22# 本次测试的腾讯云服务器 IPcat/etc/os-release|head-8uname-rlscpu|egrepModel name|^CPU\(s\)|Hypervisor|Virtualizationfree-hls-l/dev/kvm21egrep-ovmx|svm/proc/cpuinfo|sort-udf-h/读一下这张图里最关键的两行 5) /dev/kvm ls: cannot access /dev/kvm: No such file or directory 6) CPU 虚拟化标志 空也就是说✅OpenCloudOS 9.4 / 内核 6.6.119 / 8 vCPU / 15Gi RAM / 200G 磁盘——硬件够用❌/dev/kvm不存在、/proc/cpuinfo里没有vmx也没有svm——云厂商把硬件虚拟化扩展屏蔽了。按官方 README 上来直接online-install.sh必定挂在 preflight。让我顺手验证一下这件事——读一下官方一键脚本里的 KVM 检查grep-n-Ekvm|pvm/root/online-install.sh|head-1071: if [[ ! -e /dev/kvm ]]; then 73: echo ERROR: PVM mode is enabled (CUBE_PVM_ENABLE1), but /dev/kvm was not found. 77: echo For the full setup flow, see: .../guide/pvm-deploy.html 80: echo ERROR: KVM is not supported or not enabled (/dev/kvm not found).预检查会硬卡。但官方文档里其实给了第三条路「普通云服务器用户无需裸金属——安装 PVM 宿主机内核即可在普通云服务器上启用 KVM 能力」。这就是我们要走的路线。1. 五分钟看懂 PVM 是个什么玩意PVM Pagetable-based Virtual Machine是腾讯云开源到 OpenCloudOS 内核里的「基于页表的嵌套虚拟化」实现。它的精髓在不依赖宿主 hypervisor 把 vmx/svm 暴露给 guest而是通过共享内存 影子页表在内核态做特权切换。对外层 hypervisor 完全透明。通俗一句话你的云服务器即使被云厂商屏蔽了硬件虚拟化PVM 内核也能在里面偷偷虚拟出一层把/dev/kvm自己造出来。这层之上 Cube Sandbox 才能跑 MicroVM。而最爽的是PVM 宿主机内核包已经直接进 OpenCloudOS 9 官方 yum 仓库一行dnf install搞定不用去 Releases 页面右键复制链接dnf list availablekernel*cube*extras仓库里有现成的kernel-6.6.69-1.1.cubesandbox.oc9正好对应 PVM 宿主内核。这就是 OpenCloudOS 9 的快捷路径——其它发行版还得 wget rpm grubby 一通操作。2. 装内核 → 切默认 → 配 GRUB → reboot三条命令# 1) 装 PVM 宿主内核dnfinstall-ykernel-6.6.69-1.1.cubesandbox.oc9\kernel-core-6.6.69-1.1.cubesandbox.oc9\kernel-modules-6.6.69-1.1.cubesandbox.oc9# 2) grubby 自动把默认指向新内核dnf 已经帮我们做了grubby --default-kernel# /boot/vmlinuz-6.6.69-1.1.cubesandbox.oc9.x86_64 ✅# 3) 给 grub 配 PVM 必需的启动参数iommupt / cgroup.memorynokmem 等curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh|bash# 4) 重启reboot重启回来——内核切到 cubesandbox但/dev/kvm还没有因为kvm_pvm模块没自动加载。手动modprobe 写/etc/modules-load.d/modprobe kvm_pvm lsmod|grepkvmls-l/dev/kvmechokvm_pvm/etc/modules-load.d/kvm-pvm.conf看到没——kvm_pvm 49152 0加载成功crw-rw-rw- 1 root kvm 10, 232 /dev/kvm凭空出现。普通云服务器从此有了 KVM 能力。这一刻其实就是整个部署最魔幻的瞬间。3. 一键安装 Cube Sandbox关键就一个环境变量普通版安装命令curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh|MIRRORcnbashPVM 版只多一个CUBE_PVM_ENABLE1curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh\|CUBE_PVM_ENABLE1MIRRORcnbash为什么这个变量必须传官方文档讲得很清楚发布包里有两份 guest 内核——vmlinux普通版和vmlinux-pvmPVM 版。CUBE_PVM_ENABLE1告知安装脚本将 PVM guest 内核覆盖安装为运行时使用的vmlinux。不设置则默认普通 guest 内核PVM 不会生效。我把这条放后台跑本地轮询日志不然 SSH 卡 3 分钟太难受nohup/root/run_install.sh/dev/null/dev/null21# 大约 3 分钟后 …cat/root/install.done# 0 ✅这张图摘录了安装日志里的关键里程碑Pre-download preflight checks passed—— PVM 模式下/dev/kvm检查通过CN mirror latest asset: …v0.2.2/cube-sandbox-one-click-46424e7.tar.gz—— 走 CDN 镜像438 MBinstalled PVM guest kernel as …/cube-kernel-scf/vmlinux——关键日志PVM guest 内核已就位Container cube-sandbox-mysql / redis / cube-proxy-coredns Started—— 控制面组件起来started cubemaster pid7884 / cube-api pid7885 / cubelet pid7886—— 数据面组件起来[quickcheck] OKwebui listening on 12088[one-click] install complete (rolecontrol)整个 v0.2.2 包从下载到 5/5 quickcheck OK实测 3 分钟整比裸金属买机器的速度快。装完看一眼健康体检四件该有的全有CUBE_PVM_ENABLE1写进了.one-click.envkvm_pvm在lsmod里4 个 cli 命令链接到/usr/local/bin/cubecli/cubemastercli/cube-runtime/containerd-shim-cube-rs4 个端口正常监听cubemaster:8089 / cube-api:3000 / network-agent:19090 / webui:120884. 制作代码解释器模板18 秒到 READY模板就是「沙箱启动时用的镜像 配置」可以理解为 Docker 里的 image但底层是 MicroVM 的 rootfs snapshotcubemastercli tpl create-from-image\--imagecube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest\--writable-layer-size 1G\--expose-port49999\--expose-port49983\--probe49999cubemastercli tplwatch--job-idjob_id我这次拿到的template_id tpl-6c8afd4059dc4736ac327a11watch 走完 7 个阶段PULLING → DOWNLOADING → EXTRACTING → CREATING_TEMPLATE → READY只花了 18 秒比 docker pull 同等大小的镜像还快——因为底层用的是 RustVMM 的 rootfs 增量分发不是 docker layer。5. 第一个沙箱 10 次冷启动 benchmark官方文档说E2B_API_KEYdummy——但e2b SDK 2.25.1 已经强校验格式dummy 会被前端校验拦下。这是文档没跟上 SDK 升级的真实坑e2b.exceptions.AuthenticationException:Invalid API keyformat:expectede2b_followed byhexcharacters把 key 改成e2b_ 40 个 0 就能过exportE2B_API_URLhttp://127.0.0.1:3000exportE2B_API_KEYe2b_0000000000000000000000000000000000000000exportCUBE_TEMPLATE_IDtpl-6c8afd4059dc4736ac327a11exportSSL_CERT_FILE/root/.local/share/mkcert/rootCA.pem然后跑 hello 10 次连续冷启动importos,timefrome2b_code_interpreterimportSandbox# 1) 单次 hellot0time.time()withSandbox.create(templateos.environ[CUBE_TEMPLATE_ID])assb:print(fcreated in{(time.time()-t0)*1000:.0f}ms)print(sb.run_code(import platform; print(platform.release())).logs.stdout)# 2) 10 次冷启动取分位costs[]for_inrange(10):t0time.time()sbSandbox.create(templateos.environ[CUBE_TEMPLATE_ID])costs.append((time.time()-t0)*1000)sb.kill()实测结果指标实测值官方宣称单次冷启动76 ms 60 ms裸金属min61.6 ms—avg68.4 ms60 ms (单并发) / 67 ms (50 并发裸金属)p5069.5 ms—p9072.9 ms90 ms (P95)max77.0 ms—guest 内核6.6.69-cube.pvm.guest.005.x—guest hostnametpl-6c8a—guest pid in init9—注意第二行 guest 内核——它跟我宿主机的6.6.69-1.1.cubesandbox.oc9.x86_64不是同一个内核版本。-cube.pvm.guest后缀说明这是裁剪过的 guest 内核跟 PVM host 内核分别编译。这是「真·内核级隔离」的硬证据。这组数据是普通腾讯云 CVM (AMD EPYC 9K65 / 8 vCPU / 15 GiB) 上跑出来的不是裸金属能压到 60-80 ms 的区间已经基本兑现了官方的 60 ms 承诺。6. evil.py4 项隔离实战看 PVM 拦得住什么光有性能不是沙箱的卖点隔离才是。我写了一个小脚本往沙箱里灌 4 类恶意操作看宿主有没有被穿透测试操作期望T1读自己的 hostname / kernel / cpu countguest 是独立身份T2写/etc/hostname、读/host、读/proc/1/root/etc/shadowrootfs 只读、宿主路径不可见T3bytearray(4 GiB)模板只配 2 GiB触发 OOMT4connect()169.254.169.254云元数据/ 宿主 10.206.0.11 / 8.8.8.8 / baidu.com内网拦、公网通逐条解读[host] 宿主 hostname: VM-0-11-opencloudos [host] 宿主 kernel : 6.6.69-1.1.cubesandbox.oc9.x86_64 T1 沙箱内部身份 [guest] hostname tpl-6c8a ← 完全不是宿主名 [guest] kernel 6.6.69-cube.pvm.guest.005.x ← 不同内核版本 [guest] cpu count 2 ← 不是宿主的 8T1身份完全隔离连 cpuinfo 看到的核数都被裁到 2——和模板规格2C2000M对得上。 T2 试图触碰宿主敏感文件 [guest] / 下[.container_ro, .container_rw, .dockerenv, bin, ...] [guest] 写 /etc/hostname被拒 - OSError [Errno 30] Read-only file system [guest] 读 /host: 被拒 - FileNotFoundError [guest] 读 /proc/1/root/etc/shadow: ok? root:*:20486:0:99999:7:::\n…T2rootfs 默认 RO要写得显式申请 writable layer/host这种经典逃逸路径根本不存在/proc/1/root/etc/shadow能读出来——但仔细看那是 guest 自己的 init 进程的 root 视图里面是 guest 的 shadow密码字段全是*占位锁定状态不是宿主的。这恰好印证了guest 是独立内核 独立 /proc不是 namespace 共享。 T3 内存炸弹 (malloc 4 GiB模板只给 2 GiB) [guest] MemoryError -T34 GiB 直接MemoryErrorOOM 没有泄漏到宿主——硬性内存上限是 hypervisor 层强制的。 T4 网络越权探测 [guest] 169.254.169.254:80 - TimeoutError: timed out ← 云元数据被拦 [guest] 10.206.0.11:22 - TimeoutError: timed out ← 宿主 SSH被拦 [guest] 8.8.8.8:53 - 可达 [guest] baidu.com:80 - 可达T4 是最值得展开的一条。CubeSandbox 默认通过 CubeVS基于 eBPF 的虚拟交换机实现了一份开箱即用的 deny 列表10.0.0.0/8100.64.0.0/10172.16.0.0/12192.168.0.0/18等于把整个内网包括云元数据和宿主自身默认堵死。所以169.254.169.254云元数据AWS/腾讯云通用→ ⛔ 拦下10.206.0.11我宿主自己→ ⛔ 拦下8.8.8.8 / baidu.com → ✅ 公网放行LLM 生成的代码即使想试探我跑在哪个云、有没有 IAM 凭证可偷都没辙。这一条对 Agent 场景太关键了——很多 prompt injection 的攻击面第一步都是去摸云元数据。7. 5 条命令复盘在普通云服务器上把 Cube Sandbox 跑起来回到开头的承诺——「5 条命令3 分钟」。把所有正餐操作捋一遍确实就是 5 条# 1) 装 PVM 宿主内核dnf install kernel-...cubesandbox.oc9dnfinstall-ykernel-6.6.69-1.1.cubesandbox.oc9 kernel-core-6.6.69-1.1.cubesandbox.oc9 kernel-modules-6.6.69-1.1.cubesandbox.oc9# 2) 配 grub rebootcurl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/pvm/grub/host_grub_config.sh|bashreboot# 3) 加载 kvm_pvm 模块一次性 开机自加载modprobe kvm_pvmechokvm_pvm/etc/modules-load.d/kvm-pvm.conf# 4) 一键安装CUBE_PVM_ENABLE1curl-sLhttps://cnb.cool/CubeSandbox/CubeSandbox/-/git/raw/master/deploy/one-click/online-install.sh|CUBE_PVM_ENABLE1MIRRORcnbash# 5) 创建模板 watchcubemastercli tpl create-from-image--imagecube-sandbox-cn.tencentcloudcr.com/cube-sandbox/sandbox-code:latest --writable-layer-size 1G --expose-port49999--expose-port49983--probe49999跑完这 5 条本机就有了一个 E2B 兼容的、60-80 ms 冷启动、硬件级 eBPF 网络隔离的代码沙箱服务。8. 几个值得记下来的踩坑笔记#现象根因解决1/dev/kvm不存在普通云服务器屏蔽了硬件虚拟化扩展lscpu 看不到 vmx/svm装 PVM 宿主内核2uname -r切到 cubesandbox 后/dev/kvm还没有kvm_pvm模块没自动加载modprobe kvm_pvm 写modules-load.d3install 日志看到using ordinary guest kernel.env里CUBE_PVM_ENABLE0覆盖了环境变量用 online-install 走CUBE_PVM_ENABLE1或sed -i s/0/1/ .env4Sandbox.create()报Invalid API key formate2b SDK 2.25.x 升级后强校验e2b_40hex把dummy换成e2b_0000…00005第一次 create 报template have no kernel component模板池2C2000M.tmp预热的瞬态错误重试一次即可后续都 60-80 ms 稳定9. 写在最后我对这次部署最大的意外感在于两件事OpenCloudOS 9 把 PVM 内核包直接进了 yum 仓库省掉了去 Releases 页面右键复制 wget 链接的整段操作。这是 Cube Sandbox 团队和 OpenCloudOS 社区把工程化做透了的体现。其它发行版还需要手动下 rpm/debOpenCloudOS 只要dnf install一行——这是真正的快捷路径。PVM 在普通云服务器上的代价几乎为零。我以为嵌套虚拟化会有 30-50% 的性能损耗但 60-80 ms 的冷启动数据告诉我PVM 的影子页表方案在 Sandbox 这种短生命周期 高密度的场景下性能反而比传统嵌套虚拟化好得多。如果你也在做 AI Agent正纠结代码到底跑在哪儿才安全——别再让大模型生成的脚本直接跑在你机器上了也别再为了上 Firecracker 去找裸金属了。一台 50 块钱一个月的普通腾讯云轻量服务器5 条命令3 分钟你就能拥有一个产线级的硬件隔离沙箱。文中所有日志、命令、截图均为本次实测真实记录服务器规格1.13.163.22 / OpenCloudOS 9.4 / AMD EPYC 9K65 / 8 vCPU / 15 GiB RAM部署时间 2026-06-01 20:00 ~ 20:08含 reboot 和模板下载。
