Buoyant公司近日宣布其开源服务网格项目Linkerd现已支持模型上下文协议(MCP),这使其成为首个能够在Kubernetes环境中原生管理、保护和观测代理AI流量的服务网格。这一创新旨在通过为AI驱动的工作流提供稳定、安全且完全可观测的运行环境,加速企业AI应用落地。与传统基于API的应用程序不同,AI代理工作负载具有不可预测性、状态保持性和突发资源消耗特性。
随着企业越来越多地集成依赖MCP的AI代理,这一协议使模型能够通过持久化会话访问外部工具、数据源和上下文。MCP驱动的代理工作负载与传统请求-响应API截然不同,它们会生成难以预测的资源峰值,对缺乏专门可见性或安全控制机制的组织构成挑战。
Buoyant首席执行官William Morgan强调:"企业渴望通过AI创新,但不能以牺牲安全状态和应用可靠性为代价。Linkerd通过将其成熟能力扩展至MCP流量,为组织提供了加速AI应用的信心的工具。"
Linkerd即将推出的MCP支持将为代理AI工作负载带来核心网格能力,包括可见性、访问控制和流量整形,无需额外工具或架构变更。企业将获得提示词使用量、延迟、失败率和资源消耗等指标,同时基于密码学工作负载身份为所有MCP调用提供零信任访问控制。通过将这些能力集成至网格本身,Buoyant将Linkerd定位为传统微服务流量与新兴AI代理通信的统一控制平面。
早期用户表示这填补了企业AI就绪度的关键空白。Imagine Learning高级工程师Blake Romano指出,对MCP安全性的担忧最初延缓了内部部署进度。他补充说,Linkerd现有的安全态势和可观测性功能"消除了采用过程中的主要障碍",提供了对代理行为的可见性,并为安全扩展AI计划增强了信心。
Buoyant于2025年11月10-13日在亚特兰大举行的KubeCon北美大会上展示了MCP支持功能。目前该功能已在开源Linkerd和企业版中开始逐步推出。虽然其他网格和API平台可以代理MCP流量,但目前尚无其他方案将其视为一等公民协议,导致企业只能通过为传统无状态API构建的基础设施来协调AI代理。
Istio及其他基于Envoy的网格(如Kuma和Kong Mesh)为微服务提供了强大的安全性和可观测性。然而,这些网格缺乏对MCP持久化、有状态会话的直接感知。为了管理AI代理工作流,组织必须引入自定义Envoy过滤器或边车扩展,这增加了运维复杂性,且对代理行为(如提示词流、会话生命周期或工具调用模式)的可见性仍然有限。
尽管Envoy的可扩展性理论上支持更深层次的集成,但目前尚无发行版提供开箱即用的MCP能力。这导致企业在安全和可观测性方面存在缺口,特别是在AI工作负载产生超出这些网格原设计处理能力的突发流量时尤为明显。
HashiCorp的Consul提供强大的应用身份、服务发现和基于ACL的流量授权,但其网格功能仍围绕传统微服务构建。MCP流量被作为通用L4或L7流处理,缺乏跟踪代理状态、测量提示词行为或对模型与工具交互实施精细化零信任策略所需的协议特定语义。因此,使用Consul的组织仍需额外工具来安全部署代理工作负载。
现代网关如Kong、Apigee、NGINX和Ambassador在管理API入口方面发挥着重要作用,但它们并未针对MCP驱动的AI代理流量进行优化。网关擅长保护和整形离散HTTP请求;而MCP则依赖于持久会话、流式上下文和多步骤代理工作流,这些特性可能完全绕过网关强制措施,限制了其执行每工具授权、跟踪代理推理步骤或监控长时间交互中令牌使用的能力。
通过将MCP直接集成至网格数据平面,Linkerd引入了当前服务网络生态中缺失的关键能力,包括为AI代理调用提供密码学强制零信任、对提示词流和会话行为的深度可观测性,以及针对代理工作负载突发特性设计的自适应流量整形。 | 
发表于 2025-11-27 23:24:59
|
查看: 23|
回复: 0
