命名空间使用指南
Kubernetes 命名空间 帮助不同的项目、团队或客户共享一个 Kubernetes 集群。
它通过提供以下特性来实现这一点:
- 用于名称的作用域。
- 一种将授权和策略附加到集群子部分上的机制。
使用多个命名空间是可选的。
本示例演示了如何使用 Kubernetes 命名空间来细分你的集群。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。建议你在至少包含两个非控制平面主机的节点上运行本教程。如果你还没有集群,可以使用 minikube 创建一个,或者使用以下 Kubernetes 实践环境之一:
要检查版本,请输入 kubectl version。
前提条件
本示例假设以下前提:
- 你有一个现有的 Kubernetes 集群。
- 你对 Kubernetes Pod、Service 和 Deployment 有基本了解。
理解默认命名空间
默认情况下,Kubernetes 集群在配置时会创建一个默认命名空间,用来存放集群使用的默认 Pod、Service 和 Deployment 集合。
假设你有一个新集群,你可以通过执行以下操作来检查可用的命名空间:
kubectl get namespaces
NAME STATUS AGE
default Active 13m
创建新的命名空间
在本练习中,我们将额外创建两个 Kubernetes 命名空间来存放我们的内容。
让我们想象这样一个场景:一个组织正在使用一个共享的 Kubernetes 集群来进行开发和生产用例。
开发团队希望在集群中维护一个空间,在那里他们可以查看用于构建和运行其应用的 Pod、Service 和 Deployment 列表。在这个空间中,Kubernetes 资源会不断创建和销毁,并且放宽了对谁可以或不可以修改资源的限制,以支持敏捷开发。
运维团队希望在集群中维护一个空间,在那里他们可以对谁可以或不可以操作运行生产站点的 Pod、Service 和 Deployment 集合施加严格的程序。
该组织可以遵循的一种模式是将 Kubernetes 集群划分为两个命名空间:development 和 production。
让我们创建两个新的命名空间来存放我们的工作。
使用文件 namespace-dev.yaml 来描述 development 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: development
labels:
name: development
使用 kubectl 创建 development 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-dev.yaml
将以下内容保存到文件 namespace-prod.yaml,该文件描述了 production 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: production
labels:
name: production
然后使用 kubectl 创建 production 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-prod.yaml
为确保一切正常,让我们列出集群中的所有命名空间。
kubectl get namespaces --show-labels
NAME STATUS AGE LABELS
default Active 32m <none>
development Active 29s name=development
production Active 23s name=production
在每个命名空间中创建 Pod
Kubernetes 命名空间为集群中的 Pod、Service 和 Deployment 提供了作用域。
与一个命名空间交互的用户看不到另一个命名空间中的内容。
为了演示这一点,让我们在 development 命名空间中启动一个简单的 Deployment 和 Pod。
我们首先检查当前上下文是什么
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
kubectl config current-context
lithe-cocoa-92103_kubernetes
下一步是为 kubectl 客户端定义一个在其工作的命名空间的上下文。“cluster”和“user”字段的值从当前上下文复制。
kubectl config set-context dev --namespace=development \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
kubectl config set-context prod --namespace=production \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
默认情况下,上述命令会添加两个上下文,它们被保存到文件 .kube/config 中。现在你可以查看这些上下文,并根据你想在哪一个命名空间中工作来切换使用这两个新的请求上下文。
查看新的上下文
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: development
user: lithe-cocoa-92103_kubernetes
name: dev
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: production
user: lithe-cocoa-92103_kubernetes
name: prod
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
让我们切换到在 development 命名空间中操作。
kubectl config use-context dev
你可以通过执行以下操作来验证你当前的上下文
kubectl config current-context
dev
此时,我们通过命令行向 Kubernetes 集群发出的所有请求都作用于 development 命名空间。
让我们创建一些内容。
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: snowflake
name: snowflake
spec:
replicas: 2
selector:
matchLabels:
app: snowflake
template:
metadata:
labels:
app: snowflake
spec:
containers:
- image: registry.k8s.io/serve_hostname
imagePullPolicy: Always
name: snowflake
应用 manifest 创建 Deployment
kubectl apply -f https://k8s.io/examples/admin/snowflake-deployment.yaml
我们创建了一个副本数为 2 的 Deployment,它运行着一个名为 snowflake 的 Pod,Pod 中包含一个提供主机名的基本容器。
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
snowflake 2/2 2 2 2m
kubectl get pods -l app=snowflake
NAME READY STATUS RESTARTS AGE
snowflake-3968820950-9dgr8 1/1 Running 0 2m
snowflake-3968820950-vgc4n 1/1 Running 0 2m
这非常棒,开发人员可以做他们想做的事情,而不必担心影响 production 命名空间中的内容。
让我们切换到 production 命名空间,并展示一个命名空间中的资源如何对另一个命名空间隐藏。
kubectl config use-context prod
production 命名空间应该是空的,以下命令应该不会返回任何结果。
kubectl get deployment
kubectl get pods
生产环境喜欢运行 cattle(牲畜,指易于替换的标准化工作负载),所以让我们创建一些 cattle Pod。
kubectl create deployment cattle --image=registry.k8s.io/serve_hostname --replicas=5
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
cattle 5/5 5 5 10s
kubectl get pods -l app=cattle
NAME READY STATUS RESTARTS AGE
cattle-2263376956-41xy6 1/1 Running 0 34s
cattle-2263376956-kw466 1/1 Running 0 34s
cattle-2263376956-n4v97 1/1 Running 0 34s
cattle-2263376956-p5p3i 1/1 Running 0 34s
cattle-2263376956-sxpth 1/1 Running 0 34s
至此,应该清楚了,用户在一个命名空间中创建的资源对另一个命名空间是隐藏的。
随着 Kubernetes 中策略支持的发展,我们将扩展此场景以展示如何为每个命名空间提供不同的授权规则。