产品 / 集群底座
TAIP Base
正式可用从裸机到可用的 AI 平台——哪怕网线已经拔掉。
TAIP Base 负责搭建 TAIP 运行底座:一套精选的 Kubernetes 集群,包含 Cilium、Longhorn、cert-manager、Envoy Gateway、KServe 模型推理与自托管的 OIDC 身份系统——所有制品预先打包进内容寻址发布包,每一步都幂等可重入。同一套 Playbook,不改一行代码,既能部署到联网实验室,也能部署到完全物理隔离的机房;“联网安装”只是“物理隔离安装”少了一步预热。NVIDIA、华为昇腾与 AMD 的 GPU Operator 按节点标签分发,一个集群可以混用厂商——也可以混用 amd64 与 arm64。如今它运行着联网与完全物理隔离的真实集群。
规格
- 版本
- v1.6 — 正式可用
- 技术栈
- Kubernetes(K3s)· Cilium · Longhorn · cert-manager · Envoy Gateway · 自托管 OIDC · KServe
- 网络环境
- 本地部署 · 受限网络 · 完全物理隔离(支持 U 盘转运)
- 加速卡
- NVIDIA GPU Operator(已实测验证)· 昇腾 NPU 与 AMD ROCm(早期)— 按节点混用
- 架构
- amd64 + arm64,可在同一集群混用
- 实战检验
- 真实集群在跑 — 联网与完全物理隔离皆有
用实证说话
一段代码看明白。
没有私有 SDK,无需改写—— TAIP Base 在现有工具所在之处完成对接。
$ ./install/00-preflight.sh # 只读预检
$ ./install/03-install-cluster.sh --cluster site-a
ok k8s · cilium · longhorn · cert-manager · envoy-gateway · authentik
# Ctrl-C 后重跑,就是官方文档写明的恢复路径
# 同一发布包、同一仓库、同一结果——跨站点、跨月份▌ 内容寻址的发布包:版本升级重新打包时只搬运变化的层。一个镜像仓库可以服务多个集群。
核心能力
TAIP Base 为您带来什么
物理隔离优先,而非事后改造
Chart 预先内置,镜像打包为 OCI Layout,版本全部锁定;K3s 系统镜像直接解析自 K3s 二进制对应的发行版,从源头杜绝漂移。可经对象存储、U 盘或镜像仓库分发——“联网安装”只是少一步预热的“物理隔离安装”。
一套有主见的技术栈
Kubernetes + Cilium(eBPF CNI)+ Longhorn(多副本块存储)+ cert-manager + Envoy Gateway(Gateway API)+ 自托管 OIDC 身份 + KServe 模型推理(默认开启,可关闭)。需要时还可选装 Kueue 队列与 Ceph CSI 存储。可选 NVIDIA、昇腾与 AMD 的 GPU Operator——按节点标签分发,同一集群可混用。
幂等且可按层重跑
每个角色都可重复执行;Ctrl-C 后重跑就是官方恢复路径。`--tags k8s,longhorn` 可只重刷某一层。预检脚本先行只读验证 DNS、SSH、磁盘与 TLS;装完再跑验证脚本逐项检查工作负载。
身份系统自托管,源自设计
一套自托管的 OIDC 身份系统运行在集群内部,kubectl 经 OIDC 对其认证。每个应用的 OIDC 注册只是一个幂等脚本——TAIP 各应用的客户端密钥与令牌自动生成。永远不依赖 SaaS。
工作原理
从裸机到可用平台。
- 步骤 01
预热发布包
Helm Chart、镜像 Layout、二进制、证书——在联网构建机上打包一次。内容寻址:版本升级只搬运变化的层。
- 步骤 02
运行 Playbook
预检先行。安装过程幂等、分层、可重入。联网、受限网络或完全物理隔离,同一套流程。
- 步骤 03
集群就绪
Kubernetes + Cilium + Longhorn + Envoy Gateway + 自托管 OIDC——连通完毕、逐项验证,第一天就有 SSO。
适用团队
为这些团队而建
- 强合规行业(医疗、金融、政府、国防)
- 部署在客户硬件上的边缘与现场场景
- 从零搭建本地 AI 平台的团队