Oblien Workspace Runtime 是一个基于 Firecracker microVM 构建的完整隔离工作环境,为用户提供接近原生 Linux 系统的操作体验。该环境并非容器技术,而是运行在独立虚拟机中的完整 Linux 实例,包含专属的内核、文件系统和网络接口,确保任务执行的强隔离性与安全性。用户拥有完整的 root 权限,可在其中自由安装软件、配置环境并运行各类开发或运维任务。工作区内默认启用出站互联网访问,但入站连接被严格限制(网络黑暗模式),以保障平台整体安全。每个工作区都分配了专用的 CPU、内存和磁盘资源,这些资源配置在工作创建时即已确定且不可更改。 在工作区内,系统启动一个内部 API 服务,监听端口 9990,提供多种远程管理能力。通过此 API,用户可以实现文件的读写、命令的同步或异步执行、代码搜索以及交互式终端会话的建立。所有操作均可通过 RESTful API 或 WebSocket 协议完成,并支持实时输出流传输。为了支持不同场景下的调用需求,Oblien 提供了两种认证方式:一种是通过网关代理访问(适用于外部应用、CI/CD 流水线等),另一种是直接连接目标工作区的私有 IP(适用于工作区之间的低延迟通信)。无论采用哪种方式,均需使用 Bearer Token 进行身份验证,确保接口调用的合法性与安全性。
核心功能特点
- 基于 Firecracker microVM 的完全隔离 Linux 运行环境,具备独立内核与文件系统
- 内置 HTTP 内部 API(端口 9990),支持文件操作、命令执行、代码搜索和终端交互
- 双模认证机制:Gateway JWT 用于外部访问,Raw Token 用于工作区间直连通信
- 持久化文件系统支持,重启后数据不丢失,配合可写 overlay 实现状态保持
- 默认开启出站网络,入站受限,保障安全边界;支持私有链路实现工作区间互联
适用场景
Oblien Workspace Runtime 特别适合需要高安全性与强隔离性的远程开发、测试和自动化场景。例如,在 CI/CD 流程中,开发者可以通过 SDK 或 REST API 动态创建工作区,在其中克隆代码库、安装依赖、运行单元测试并生成构建产物,整个过程无需暴露任何敏感凭证或源代码到公网。由于每个任务都在独立的 microVM 中运行,即使出现异常也不会影响其他作业或宿主系统。此外,对于需要复杂环境配置的机器学习训练、容器镜像构建或跨平台编译任务,该运行时提供了灵活的文件管理和命令执行能力,能够模拟真实服务器行为。 另一个典型应用场景是远程调试与技术支持。工程师可以通过 WebSocket 建立的交互式终端直接登录工作区,像操作本地机器一样排查问题、查看日志或修改配置文件。结合文件监听功能,还能实时监控代码变更并触发自动响应,极大提升开发效率。对于团队协作项目,多个成员可以共享同一工作区实例,同时打开多个终端会话或使用不同的工具链,而彼此之间互不干扰。借助私有链接机制,不同工作区之间还可建立安全通道,实现微服务架构下的组件联调或分布式系统测试。 无论是 DevOps 自动化、云原生应用部署还是临时性沙箱实验,Oblien Workspace Runtime 都能提供一致、可控且高效的执行环境,满足现代软件工程对弹性、安全与可观测性的综合要求。