云原生周刊：Docker 推出 Docker Debug

开源项目推荐

SchemaHero

SchemaHero 是一个 Kubernetes Operator，用于各种数据库的声明式架构管理。SchemaHero 有以下目标：

数据库表模式可以表示为可以部署到集群的 Kubernetes 资源。
可以编辑数据库模式并将其部署到集群。SchemaHero 将计算所需的更改（ALTER TABLE 语句）并应用它。
SchemaHero 可以管理部署到集群或集群外部的数据库（RDS、Google CloudSQL 等）。

copacetic

copacetic 是一款基于 buildkit 并用 Go 编写的 CLI 工具，可用于根据 Trivy 等流行工具的漏洞扫描结果直接修补容器镜像。

Kueue

Kueue 是一套用于作业队列的 API 和控制器。它是作业级管理器，可决定何时允许作业启动（如创建 pod），何时停止作业（如删除活动 pod）。

Spyglass

Spyglass 是一款开源工具，允许用户在一个集中位置监控 Kubernetes 集群指标并跟踪集群部署成本。

文章推荐

多租户 2400 小时的生存之道：我现在知道了什么

这篇文章是关于作者在处理多租户环境下的经验和教训的分享。作者介绍了他们所面临的挑战：由于项目请求的激增，现有的基础设施无法满足存储需求。为了解决这个问题，他们开始寻找一个强大的多租户解决方案。

作者详细介绍了他们的多租户方法和使用 vcluster 的经验。他们采用了 Virtual-Kubernetes-as-a-Service (VKaaS)的模型，通过在共享集群中运行 vcluster 来为新项目提供无缝的启动体验。他们为每个团队分配了一个独立的 Argo CD 实例，以保持单一集群使用的标准。他们努力提供尽可能多的自治权给团队，同时保持多租户架构的完整性。

文章还介绍了他们的工作流程和实施策略。他们利用节点池来区分共享工作负载和项目相关的非关键应用程序，并详细解释了他们在共享集群中的工作方式。他们还强调了灾难恢复方案对于多租户方法的重要性，并提供了一些实施策略的示例。

Kubernetes 教程：Kubernetes 中的 Preemption（抢占）机制

这篇文章是关于 Kubernetes 中的 Preemption（抢占）机制的介绍和示例。Preemption 是一种允许高优先级 Pod 抢占低优先级 Pod 的机制，当资源不足以调度高优先级 Pod 时使用。文章首先介绍了 PriorityClass，它是一个非命名空间对象，定义了优先级类名称与优先级整数值的映射关系。数值越高，优先级越高。

文章还介绍了两个内置的优先级类：system-cluster-critical 和 system-node-critical，它们分别具有值 2000001000 和 2000000000，确保这些 Pod 始终被首先调度，并且永远不会被抢占。文章通过一个示例说明了 Preemption 在 Kubernetes 中的工作原理。文章还提供了如何在 Pod 中设置 Preemption 策略的示例。

云原生动态

LitmusChaos 3.0 发布

LitmusChaos 3.0 已正式发布，此版本主要变化如下：

改进的用户体验
混沌基础设施组织的环境
用于简化实验调整的 Chaos Studio
弹性探针现在支持即插即用
支持 MongoDB 高可用性

发行说明：https://github.com/litmuschaos/litmus/releases/tag/3.0.0。

服务网格接口（SMI）项目进入归档阶段

CNCF TOC（技术监督委员会，Technical Oversight Committee）已投票批准将 SMI（Service Mesh Interface，服务网格接口）项目归档。

SMI 的创建是为了为 Kubernetes 上的服务网格提供标准接口和最常见服务网格使用案例的基本功能集。它于 2020 年 3 月被接受为 CNCF 沙箱项目。

SMI 是第五个被 CNCF 归档的项目。开源项目有其生命周期，项目可能因各种原因而不再活跃。还有一些情况是项目可能不再希望得到 CNCF、维护人员或 TOC 的支持。

Linux 基金会、BastionZero 和 Docker 宣布启动 OpenPubkey 项目

Linux 基金会、BastionZero 和 Docker 宣布 OpenPubkey 作为 Linux 基金会开源项目的启动。与 OpenPubkey 的启动同时，BastionZero 宣布将 OpenPubkey 集成到 Docker 容器签名中，以通过零信任无密码身份验证来保护开源软件生态系统。

OpenPubkey 协议是作为 BastionZero 安全基础设施访问产品的一部分开发的。OpenPubkey 使用户能够通过将 OpenID Connect 身份提供者（Identity Provider，IdP）转换为证书颁发机构（Certificate Authority，CA）来安全准确地将加密密钥与用户和工作负载绑定。随着这个集成的推出，Docker 用户可以增强软件供应链安全性。

Docker 推出容器调试工具和云驱动的构建服务

在 2023 年的 DockerCon 活动上，Docker 推出了名为 Docker Debug 的容器调试工具，推出了下一代云辅助的 Docker Build 功能，Docker Scout 漏洞扫描工具也正式发布。

Docker Debug 解决了在容器中运行应用程序时出现故障时很难跟踪问题的问题。它是一个容器，包含开发人员所需的调试工具，它会挂载故障容器的文件系统，并提供了更好的用户体验，帮助开发人员理解问题所在。

Docker Scout 是一个漏洞扫描工具，可以找出应用程序所使用的库中存在的已报告漏洞。它与第三方工具 Sysdig 集成，可以在运行时显示实际使用的代码，并帮助开发人员优先处理与其应用相关的漏洞。

下一代 Docker Build 是一个将构建过程从本地转移到云端的工具。通过一条命令，开发人员可以将构建过程交给云端完成，从而加快构建速度。这得益于云端使用更强大的计算资源以及缓存机制的支持。

本文由博客一文多发平台 OpenWrite 发布！