命名空间演练

Kubernetes 命名空间帮助不同的项目、团队或客户共享一个 Kubernetes 集群。

它通过提供以下功能来实现这一点

  1. 名称的范围。
  2. 一种将授权和策略附加到集群子部分上的机制。

使用多个命名空间是可选的。

此示例演示如何使用 Kubernetes 命名空间来细分集群。

开始之前

你需要有一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具才能与你的集群通信。建议在至少有两个不充当控制平面主机的节点的集群上运行本教程。如果你还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes 游乐场之一

要检查版本,请输入 kubectl version

前提条件

此示例假设以下内容

  1. 你有一个现有的 Kubernetes 集群
  2. 你对 Kubernetes Pod服务Deployment 有基本的了解。

了解默认命名空间

默认情况下,Kubernetes 集群在配置集群时会实例化一个默认命名空间,以保存集群使用的默认 Pod、服务和 Deployment 集。

假设你有一个新的集群,你可以通过执行以下操作来检查可用的命名空间

kubectl get namespaces
NAME      STATUS    AGE
default   Active    13m

创建新的命名空间

在本练习中,我们将创建两个额外的 Kubernetes 命名空间来保存我们的内容。

让我们想象一个场景,其中一个组织正在使用一个共享的 Kubernetes 集群进行开发和生产用例。

开发团队希望在集群中维护一个空间,在那里他们可以查看他们用来构建和运行应用程序的 Pod、服务和 Deployment 的列表。在这个空间中,Kubernetes 资源来来往往,并且放宽了对谁可以或不能修改资源的限制,以实现敏捷开发。

运维团队希望在集群中维护一个空间,在那里他们可以对谁可以或不能操作运行生产站点的 Pod、服务和 Deployment 集执行严格的程序。

该组织可以遵循的一种模式是将 Kubernetes 集群划分为两个命名空间:developmentproduction

让我们创建两个新的命名空间来保存我们的工作。

使用文件 namespace-dev.yaml 它描述了 development 命名空间

apiVersion: v1
kind: Namespace
metadata:
  name: development
  labels:
    name: development

使用 kubectl 创建 development 命名空间。

kubectl create -f https://k8s.io/examples/admin/namespace-dev.yaml

将以下内容保存到文件 namespace-prod.yaml 中,它描述了 production 命名空间

apiVersion: v1
kind: Namespace
metadata:
  name: production
  labels:
    name: production

然后,让我们使用 kubectl 创建 production 命名空间。

kubectl create -f https://k8s.io/examples/admin/namespace-prod.yaml

为了确保一切正常,让我们列出集群中的所有命名空间。

kubectl get namespaces --show-labels
NAME          STATUS    AGE       LABELS
default       Active    32m       <none>
development   Active    29s       name=development
production    Active    23s       name=production

在每个命名空间中创建 Pod

Kubernetes 命名空间为集群中的 Pod、服务和 Deployment 提供范围。

与一个命名空间交互的用户看不到另一个命名空间中的内容。

为了演示这一点,让我们在 development 命名空间中启动一个简单的 Deployment 和 Pod。

我们首先检查当前的上下文是什么

kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: REDACTED
    server: https://130.211.122.180
  name: lithe-cocoa-92103_kubernetes
contexts:
- context:
    cluster: lithe-cocoa-92103_kubernetes
    user: lithe-cocoa-92103_kubernetes
  name: lithe-cocoa-92103_kubernetes
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
  user:
    password: h5M0FtUUIflBSdI7
    username: admin
kubectl config current-context
lithe-cocoa-92103_kubernetes

下一步是为 kubectl 客户端定义一个在每个命名空间中工作的上下文。 “cluster”和“user”字段的值是从当前上下文中复制的。

kubectl config set-context dev --namespace=development \
  --cluster=lithe-cocoa-92103_kubernetes \
  --user=lithe-cocoa-92103_kubernetes

kubectl config set-context prod --namespace=production \
  --cluster=lithe-cocoa-92103_kubernetes \
  --user=lithe-cocoa-92103_kubernetes

默认情况下,上述命令添加两个上下文,这两个上下文保存在 .kube/config 文件中。 现在,你可以查看上下文,并根据你希望使用的命名空间,在两个新的请求上下文之间切换。

要查看新上下文

kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: REDACTED
    server: https://130.211.122.180
  name: lithe-cocoa-92103_kubernetes
contexts:
- context:
    cluster: lithe-cocoa-92103_kubernetes
    user: lithe-cocoa-92103_kubernetes
  name: lithe-cocoa-92103_kubernetes
- context:
    cluster: lithe-cocoa-92103_kubernetes
    namespace: development
    user: lithe-cocoa-92103_kubernetes
  name: dev
- context:
    cluster: lithe-cocoa-92103_kubernetes
    namespace: production
    user: lithe-cocoa-92103_kubernetes
  name: prod
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
  user:
    password: h5M0FtUUIflBSdI7
    username: admin

让我们切换到在 development 命名空间中操作。

kubectl config use-context dev

你可以通过执行以下操作来验证当前上下文

kubectl config current-context
dev

此时,我们从命令行向 Kubernetes 集群发出的所有请求都限定在 development 命名空间内。

让我们创建一些内容。

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: snowflake
  name: snowflake
spec:
  replicas: 2
  selector:
    matchLabels:
      app: snowflake
  template:
    metadata:
      labels:
        app: snowflake
    spec:
      containers:
      - image: registry.k8s.io/serve_hostname
        imagePullPolicy: Always
        name: snowflake

应用清单以创建 Deployment

kubectl apply -f https://k8s.io/examples/admin/snowflake-deployment.yaml

我们创建了一个副本大小为 2 的 Deployment,该 Deployment 正在运行名为 snowflake 的 Pod,该 Pod 具有一个提供主机名的基本容器。

kubectl get deployment
NAME         READY   UP-TO-DATE   AVAILABLE   AGE
snowflake    2/2     2            2           2m
kubectl get pods -l app=snowflake
NAME                         READY     STATUS    RESTARTS   AGE
snowflake-3968820950-9dgr8   1/1       Running   0          2m
snowflake-3968820950-vgc4n   1/1       Running   0          2m

这很棒,开发人员可以做他们想做的事情,他们不必担心会影响 production 命名空间中的内容。

让我们切换到 production 命名空间,并展示一个命名空间中的资源是如何对另一个命名空间隐藏的。

kubectl config use-context prod

production 命名空间应该为空,以下命令应该不返回任何内容。

kubectl get deployment
kubectl get pods

生产喜欢运行牛,所以让我们创建一些牛 Pod。

kubectl create deployment cattle --image=registry.k8s.io/serve_hostname --replicas=5

kubectl get deployment
NAME         READY   UP-TO-DATE   AVAILABLE   AGE
cattle       5/5     5            5           10s
kubectl get pods -l app=cattle
NAME                      READY     STATUS    RESTARTS   AGE
cattle-2263376956-41xy6   1/1       Running   0          34s
cattle-2263376956-kw466   1/1       Running   0          34s
cattle-2263376956-n4v97   1/1       Running   0          34s
cattle-2263376956-p5p3i   1/1       Running   0          34s
cattle-2263376956-sxpth   1/1       Running   0          34s

此时,应该很清楚,用户在一个命名空间中创建的资源对另一个命名空间是隐藏的。

随着 Kubernetes 中策略支持的发展,我们将扩展此场景,以展示如何为每个命名空间提供不同的授权规则。

上次修改时间:2023 年 8 月 24 日下午 6:38(太平洋标准时间):使用 code_sample shortcode 代替 code shortcode (e8b136c3b3)