云原生周刊：对 Docker 镜像的更改持久保存

云原生热点

Rook v1.19 正式发布：存储性能、兼容性与运维体验全面提升

Rook 是一个开源的 K8s 原生存储编排器，用于在 K8s 集群上自动部署、管理和扩展 Ceph 分布式存储系统，提供文件、块和对象存储支持，并简化存储生命周期管理，使容器化环境具备高性能、可扩展的持久化存储能力。

近日，Rook v1.19 正式发布，这是一个重要的功能版本，显著提升了存储平台的性能与兼容性。该版本新增实验性 NVMe over Fabrics（NVMe-oF）网关支持，可通过 NVMe/TCP 协议访问 RBD 卷，为集群内外提供高性能块存储访问；集成 Ceph CSI v3.16，带来动态挂载、节点故障隔离、块卷统计和可配置加密等改进；同时引入并发对齐多个 CephCluster 的实验性支持，以优化 Operator 操作，并改善日志信息与多集群管理体验。

Kueue v0.16 发布：增强批处理调度与弹性队列能力

Kueue 是 K8s 原生作业队列控制器，用于管理批处理工作负载的入队、资源分配与调度，结合标准调度器和自动扩缩容组件，实现公平、高效的资源共享与优先级控制，适用于本地与云端 K8s 集群的批任务管理。

Kueue v0.16 引入了重要的 API 和行为变更，包括默认使用新的 v1beta2 API 存储版本，以提升内部拓扑分配性能，并为后续版本淘汰旧 API 做准备；新增 multiplyBy 字段以优化资源转换逻辑；增强 CLI 使用体验和多集群（MultiKueue）支持，并加入更多可观测性指标与错误修复；同时还提供 RayJob 弹性作业支持、TLS 配置自定义，以及安全性和 Pod 集成方面的改进。

技术实践

文章推荐

如何让对 Docker 镜像的更改持久保存

Docker 镜像采用不可变设计，但如果需要将对镜像的修改持久化保存，可以通过 docker commit 命令将正在运行或已修改的容器状态捕获为一个新的镜像，使安装的软件、修改的文件或配置等更改得以保留，而不会影响原始镜像。文章解释了镜像不可直接修改的原因，展示了如何运行容器、在容器内进行更改，并使用
docker commit [OPTIONS] 容器ID 新镜像名[:标签]
创建新镜像，同时对比了该方式与使用 Dockerfile 进行规范、可重现构建之间的差异。该方法适合快速实验或临时修复，但不建议作为生产环境的主要镜像构建流程。

使用 Agones 在 K8s 中构建和扩展游戏服务器

本文介绍了作者如何利用 Agones 从零开始构建、部署、配对以及自动扩缩容游戏服务器的完整实践过程。文章首先解释了为何需要 Agones 来处理游戏服务器这种既有状态又需弹性伸缩的工作负载，然后通过 Go 语言示例 实现简单的游戏服务器代码，并展示如何将其与 Agones SDK 集成、在 K8s 集群上部署、编写匹配服务以及设置 autoscaling 策略。

K8s 事故中惨痛教训揭示的隐藏不良实践

本文介绍了 K8s 停机事件背后的根本原因并非平台本身的 bug，而往往是人为因素导致的复杂性问题。作者指出，虽然 K8s 是一个强大且成熟的容器编排平台，但工程团队在实际运维中常通过未文档化的工具、自行设计的复杂解决方案以及“英雄式工程”等做法累积了大量潜在风险，使系统变得脆弱不堪。

许多事故实际上源于配置错误、变更失误以及缺乏清晰的操作规范，而非底层平台漏洞。要降低此类风险，关键在于提升流程纪律性、简化运维实践、加强团队对系统运行方式的共同理解，并建立更完善的可观测性与变更管理机制。

开源项目推荐

Colima

Colima 是一个开源的本地容器运行环境工具，用于在 macOS 和 Linux 上替代 Docker Desktop。它基于 Lima 运行轻量级虚拟机，可无缝支持 Docker 容器和 Kubernetes 集群，支持多种容器运行时（Docker Engine、containerd）、自动配置镜像加速、端口转发和持久化存储等功能，简化本地容器环境的搭建与使用，是替代 Docker Desktop 的优秀选择。

Agno

Agno 是一个开源的 Python 框架，用于构建和运行具备共享记忆、知识库、推理能力和工具集成的多智能体系统（Multi-Agent Systems）。它提供从智能体构建到生产级运行时 AgentOS 及控制面板 UI 的完整开发栈，支持多模型厂商、丰富工具集和复杂工作流管理，适合构建可扩展、私有化部署的智能体应用。

Calico

Calico 是一个开源的云原生网络与安全解决方案，主要用于为 Kubernetes、容器、虚拟机及裸机环境提供高性能、可扩展的网络连接、网络策略控制和可观测性支持。它支持多种数据平面技术（如 eBPF、标准 Linux、Windows 和 VPP），实现灵活的网络配置与细粒度安全策略，使集群间和集群内流量安全、可靠地通信，广泛应用于多云、混合云和边缘场景的容器网络中。

Openwork

Openwork 是一个开源的 AI 桌面智能助手项目，作为本地运行的自动化代理，能够利用用户自带的 AI API（如 OpenAI、Anthropic、Google、xAI）或本地模型，自动完成文件管理、文档创建和浏览器操作等任务。所有操作均在本机执行，数据不外泄，且支持用户对每一步操作进行审批，适合构建安全、可控的桌面自动化工作流。

关于KubeSphere

KubeSphere （https://kubesphere.io）是在 Kubernetes 之上构建的容器平台，提供全栈的 IT 自动化运维的能力，简化企业的 DevOps 工作流。

KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能，包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能，帮助企业快速构建一个强大和功能丰富的容器云平台。