命名空间
在 Kubernetes 中,*命名空间(Namespace)* 提供了一种机制,用于在单个集群中隔离资源组。资源名称在命名空间内必须唯一,但在不同命名空间之间不必。基于命名空间的范围限定仅适用于命名空间的对象*(例如 Deployment、Service 等)*,而不适用于集群范围的对象*(例如 StorageClass、Node、PersistentVolume 等)*。
何时使用多个命名空间
命名空间适用于具有许多用户,且用户分散在多个团队或项目中的环境。对于只有少量到几十个用户的集群,你根本不需要创建或考虑命名空间。当你需要命名空间提供的特性时,再开始使用命名空间。
命名空间为名称提供了一个作用域。资源名称在命名空间内必须唯一,但在不同命名空间之间不必。命名空间不能相互嵌套,并且每个 Kubernetes 资源只能位于一个命名空间中。
命名空间是一种在多个用户之间划分集群资源(通过资源配额)的方法。
不需要使用多个命名空间来区分略有不同的资源,例如同一软件的不同版本:请使用标签来区分同一命名空间中的资源。
注意
对于生产集群,考虑*不*使用default 命名空间。而是创建其他命名空间并使用它们。初始命名空间
Kubernetes 启动时包含四个初始命名空间
default- Kubernetes 包含此命名空间,以便你可以在无需首先创建命名空间的情况下开始使用新集群。
kube-node-lease- 此命名空间包含与每个节点关联的 Lease 对象。节点租约允许 kubelet 发送心跳,以便控制平面可以检测到节点故障。
kube-public- 此命名空间可被*所有*客户端(包括未认证的客户端)读取。此命名空间主要保留用于集群使用,以防某些资源需要在整个集群中公开可见和可读。此命名空间的公共性仅是一种约定,而非强制要求。
kube-system- Kubernetes 系统创建的对象的命名空间。
使用命名空间
命名空间的创建和删除在命名空间的管理员指南文档中进行了描述。
注意
避免创建以kube- 为前缀的命名空间,因为它是为 Kubernetes 系统命名空间保留的。查看命名空间
你可以使用以下命令列出集群中的当前命名空间:
kubectl get namespace
NAME STATUS AGE
default Active 1d
kube-node-lease Active 1d
kube-public Active 1d
kube-system Active 1d
为请求设置命名空间
要为当前请求设置命名空间,请使用 --namespace 标志。
例如:
kubectl run nginx --image=nginx --namespace=<insert-namespace-name-here>
kubectl get pods --namespace=<insert-namespace-name-here>
设置命名空间偏好
你可以为该上下文中的所有后续 kubectl 命令永久保存命名空间。
kubectl config set-context --current --namespace=<insert-namespace-name-here>
# Validate it
kubectl config view --minify | grep namespace:
命名空间和 DNS
创建Service时,会创建一个相应的DNS 条目。此条目采用 <service-name>.<namespace-name>.svc.cluster.local 形式,这意味着如果容器只使用 <service-name>,它将解析到命名空间本地的 Service。这对于在多个命名空间(如 Development、Staging 和 Production)中使用相同的配置非常有用。如果要跨命名空间访问,则需要使用完全限定域名 (FQDN)。
因此,所有命名空间名称必须是有效的RFC 1123 DNS 标签。
警告
通过创建与公共顶级域名同名的命名空间,这些命名空间中的 Service 可以具有与公共 DNS 记录重叠的短 DNS 名称。来自任何命名空间且在执行 DNS 查找时没有尾部点的负载将被重定向到这些 Service,从而优先于公共 DNS。
为了缓解此问题,请将创建命名空间的权限限制给可信用户。如果需要,你还可以配置第三方安全控制,例如准入 Webhook,以阻止创建与公共顶级域名同名的任何命名空间。
并非所有对象都在命名空间中
大多数 Kubernetes 资源(例如 Pod、Service、Replication Controller 等)都位于某个命名空间中。但是,命名空间资源本身不属于任何命名空间。并且低层级资源,例如节点和PersistentVolume,也不属于任何命名空间。
要查看哪些 Kubernetes 资源在命名空间中以及哪些不在:
# In a namespace
kubectl api-resources --namespaced=true
# Not in a namespace
kubectl api-resources --namespaced=false
自动打标签
Kubernetes 1.22 [stable]Kubernetes 控制平面在所有命名空间上设置一个不可变的标签 kubernetes.io/metadata.name。标签的值就是命名空间的名称。