跳到正文
TAIP

产品 / 集群底座

TAIP Base

正式可用

从裸机到可用的 AI 平台——哪怕网线已经拔掉。

TAIP Base 负责搭建 TAIP 运行底座:一套精选的 Kubernetes 集群,包含 Cilium、Longhorn、cert-manager、Envoy Gateway、KServe 模型推理与自托管的 OIDC 身份系统——所有制品预先打包进内容寻址发布包,每一步都幂等可重入。同一套 Playbook,不改一行代码,既能部署到联网实验室,也能部署到完全物理隔离的机房;“联网安装”只是“物理隔离安装”少了一步预热。NVIDIA、华为昇腾与 AMD 的 GPU Operator 按节点标签分发,一个集群可以混用厂商——也可以混用 amd64 与 arm64。如今它运行着联网与完全物理隔离的真实集群。

规格

版本
v1.6 — 正式可用
技术栈
Kubernetes(K3s)· Cilium · Longhorn · cert-manager · Envoy Gateway · 自托管 OIDC · KServe
网络环境
本地部署 · 受限网络 · 完全物理隔离(支持 U 盘转运)
加速卡
NVIDIA GPU Operator(已实测验证)· 昇腾 NPU 与 AMD ROCm(早期)— 按节点混用
架构
amd64 + arm64,可在同一集群混用
实战检验
真实集群在跑 — 联网与完全物理隔离皆有

用实证说话

一段代码看明白。

没有私有 SDK,无需改写—— TAIP Base 在现有工具所在之处完成对接。

从裸机起步,幂等可重入
$ ./install/00-preflight.sh                      # 只读预检
$ ./install/03-install-cluster.sh --cluster site-a
ok  k8s · cilium · longhorn · cert-manager · envoy-gateway · authentik
# Ctrl-C 后重跑,就是官方文档写明的恢复路径
# 同一发布包、同一仓库、同一结果——跨站点、跨月份

内容寻址的发布包:版本升级重新打包时只搬运变化的层。一个镜像仓库可以服务多个集群。

核心能力

TAIP Base 为您带来什么

01

物理隔离优先,而非事后改造

Chart 预先内置,镜像打包为 OCI Layout,版本全部锁定;K3s 系统镜像直接解析自 K3s 二进制对应的发行版,从源头杜绝漂移。可经对象存储、U 盘或镜像仓库分发——“联网安装”只是少一步预热的“物理隔离安装”。

02

一套有主见的技术栈

Kubernetes + Cilium(eBPF CNI)+ Longhorn(多副本块存储)+ cert-manager + Envoy Gateway(Gateway API)+ 自托管 OIDC 身份 + KServe 模型推理(默认开启,可关闭)。需要时还可选装 Kueue 队列与 Ceph CSI 存储。可选 NVIDIA、昇腾与 AMD 的 GPU Operator——按节点标签分发,同一集群可混用。

03

幂等且可按层重跑

每个角色都可重复执行;Ctrl-C 后重跑就是官方恢复路径。`--tags k8s,longhorn` 可只重刷某一层。预检脚本先行只读验证 DNS、SSH、磁盘与 TLS;装完再跑验证脚本逐项检查工作负载。

04

身份系统自托管,源自设计

一套自托管的 OIDC 身份系统运行在集群内部,kubectl 经 OIDC 对其认证。每个应用的 OIDC 注册只是一个幂等脚本——TAIP 各应用的客户端密钥与令牌自动生成。永远不依赖 SaaS。

工作原理

从裸机到可用平台。

  1. 步骤 01

    预热发布包

    Helm Chart、镜像 Layout、二进制、证书——在联网构建机上打包一次。内容寻址:版本升级只搬运变化的层。

  2. 步骤 02

    运行 Playbook

    预检先行。安装过程幂等、分层、可重入。联网、受限网络或完全物理隔离,同一套流程。

  3. 步骤 03

    集群就绪

    Kubernetes + Cilium + Longhorn + Envoy Gateway + 自托管 OIDC——连通完毕、逐项验证,第一天就有 SSO。

适用团队

为这些团队而建

  • 强合规行业(医疗、金融、政府、国防)
  • 部署在客户硬件上的边缘与现场场景
  • 从零搭建本地 AI 平台的团队