命名空间演练
Kubernetes 命名空间有助于不同的项目、团队或客户共享一个 Kubernetes 集群。
它通过提供以下功能实现此目的:
- 名称的范围。
- 将授权和策略附加到集群子部分的机制。
使用多个命名空间是可选的。
本示例演示了如何使用 Kubernetes 命名空间来细分您的集群。
准备工作
您需要有一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议在至少有两个不是控制平面主机节点的集群上运行本教程。如果您还没有集群,可以使用 minikube 创建一个,或者使用以下 Kubernetes 演练场之一。
要检查版本,请输入 kubectl version。
先决条件
本示例假设以下情况:
- 您有一个现有 Kubernetes 集群。
- 您对 Kubernetes Pod、服务和部署有基本的了解。
了解默认命名空间
默认情况下,Kubernetes 集群在配置集群时会实例化一个默认命名空间,用于存放集群使用的默认 Pod、服务和部署集。
假设您有一个全新的集群,您可以通过以下方式检查可用的命名空间:
kubectl get namespaces
NAME STATUS AGE
default Active 13m
创建新命名空间
对于本练习,我们将创建两个额外的 Kubernetes 命名空间来存放我们的内容。
让我们想象一个场景:一个组织正在使用一个共享的 Kubernetes 集群进行开发和生产用例。
开发团队希望在集群中维护一个空间,以便他们可以查看用于构建和运行应用程序的 Pod、服务和部署列表。在这个空间中,Kubernetes 资源来去自由,并且对谁可以或不能修改资源的限制也比较宽松,以支持敏捷开发。
运营团队希望在集群中维护一个空间,以便他们可以对谁可以或不能操纵运行生产站点的 Pod、服务和部署集强制执行严格的程序。
这个组织可以遵循的一种模式是将 Kubernetes 集群划分为两个命名空间:development 和 production。
让我们创建两个新的命名空间来存放我们的工作。
使用文件namespace-dev.yaml,它描述了一个 development 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: development
labels:
name: development
使用 kubectl 创建 development 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-dev.yaml
将以下内容保存到文件 namespace-prod.yaml 中,该文件描述了一个 production 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: production
labels:
name: production
然后我们使用 kubectl 创建 production 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-prod.yaml
为了确保一切正常,让我们列出集群中的所有命名空间。
kubectl get namespaces --show-labels
NAME STATUS AGE LABELS
default Active 32m <none>
development Active 29s name=development
production Active 23s name=production
在每个命名空间中创建 Pod
Kubernetes 命名空间为集群中的 Pod、服务和部署提供了作用域。
与一个命名空间交互的用户看不到另一个命名空间中的内容。
为了演示这一点,让我们在 development 命名空间中启动一个简单的部署和 Pod。
我们首先检查当前的上下文
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
kubectl config current-context
lithe-cocoa-92103_kubernetes
下一步是为 kubectl 客户端在每个命名空间中工作定义一个上下文。“cluster”和“user”字段的值是从当前上下文复制的。
kubectl config set-context dev --namespace=development \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
kubectl config set-context prod --namespace=production \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
默认情况下,上述命令会添加两个上下文,这些上下文会保存到文件 .kube/config 中。您现在可以根据希望使用的命名空间来查看上下文并在两个新的请求上下文之间切换。
要查看新上下文
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: development
user: lithe-cocoa-92103_kubernetes
name: dev
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: production
user: lithe-cocoa-92103_kubernetes
name: prod
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
让我们切换到在 development 命名空间中操作。
kubectl config use-context dev
您可以通过以下方式验证当前的上下文:
kubectl config current-context
dev
此时,我们从命令行向 Kubernetes 集群发出的所有请求都限定在 development 命名空间中。
让我们创建一些内容。
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: snowflake
name: snowflake
spec:
replicas: 2
selector:
matchLabels:
app: snowflake
template:
metadata:
labels:
app: snowflake
spec:
containers:
- image: registry.k8s.io/serve_hostname
imagePullPolicy: Always
name: snowflake
应用清单以创建部署
kubectl apply -f https://k8s.io/examples/admin/snowflake-deployment.yaml
我们创建了一个副本数为 2 的部署,它运行名为 snowflake 的 Pod,其中包含一个提供主机名的基本容器。
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
snowflake 2/2 2 2 2m
kubectl get pods -l app=snowflake
NAME READY STATUS RESTARTS AGE
snowflake-3968820950-9dgr8 1/1 Running 0 2m
snowflake-3968820950-vgc4n 1/1 Running 0 2m
这很棒,开发人员可以做他们想做的事情,他们不必担心影响 production 命名空间中的内容。
让我们切换到 production 命名空间,并展示一个命名空间中的资源如何对另一个命名空间隐藏。
kubectl config use-context prod
production 命名空间应该为空,以下命令应该不返回任何内容。
kubectl get deployment
kubectl get pods
生产环境喜欢运行 Cattle,所以让我们创建一些 Cattle Pod。
kubectl create deployment cattle --image=registry.k8s.io/serve_hostname --replicas=5
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
cattle 5/5 5 5 10s
kubectl get pods -l app=cattle
NAME READY STATUS RESTARTS AGE
cattle-2263376956-41xy6 1/1 Running 0 34s
cattle-2263376956-kw466 1/1 Running 0 34s
cattle-2263376956-n4v97 1/1 Running 0 34s
cattle-2263376956-p5p3i 1/1 Running 0 34s
cattle-2263376956-sxpth 1/1 Running 0 34s
此时,应该清楚的是,用户在一个命名空间中创建的资源对另一个命名空间是隐藏的。
随着 Kubernetes 中策略支持的发展,我们将扩展此场景,以展示如何为每个命名空间提供不同的授权规则。