Kubernetes(k8s):Namespace详解
- 一、Namespace简介
- 1.1 什么是Namespace
- 1.2 Namespace的作用
- 1.3 命名空间的分类
- 二、创建和管理Namespace
- 2.1 创建Namespace
- 2.2 管理Namespace
- 三、Namespace的实战应用
- 3.1 部署多个项目
- 3.2 环境隔离
- 3.3 资源配额控制
- 3.4 访问控制
- 四、Namespace的最佳实践
- 4.1 命名规范
- 4.2 资源限制
- 4.3 监控和日志
- 4.4 清理和维护
|
💖The Begin💖点点关注,收藏不迷路💖
|
在Kubernetes(K8s)中,Namespace是一种用于在集群中创建多个虚拟集群的方式。它将集群资源进行逻辑分组,使得不同的团队或项目可以独立地使用资源,避免资源冲突和混乱。本篇博客将详细介绍Kubernetes的Namespace概念、用法和实战应用场景。
一、Namespace简介
1.1 什么是Namespace
Namespace是Kubernetes中的一种资源对象,用于将集群中的资源进行逻辑分组和隔离。它可以看作是一个虚拟的集群,拥有自己的资源配额、网络和存储等。不同的Namespace之间是完全隔离的,各自拥有自己的资源和配置,(默认不隔离网络)。
1.2 Namespace的作用
Namespace的主要作用是将集群资源进行分组,使得不同团队或项目可以在同一个Kubernetes集群上独立使用资源,避免资源冲突和混乱。它提供了一种逻辑隔离的方式,有助于管理和监控不同项目的资源使用情况。
1.3 命名空间的分类
Kubernetes中的Namespace可以分为三种类型:
1、默认命名空间(default):
集群中的默认命名空间,用于存放没有指定Namespace的资源对象。
2、系统命名空间:
用于存放Kubernetes自带的系统组件,如kube-system、kube-public等。
3、用户自定义命名空间:
用户可以创建自己的Namespace,用于部署和管理自己的应用程序。
##获取当前Kubernetes集群中的所有命名空间的信息
[root@k8s-01 ~]# kubectl get ns
NAME STATUS AGE
default Active 21h
kube-node-lease Active 21h
kube-public Active 21h
kube-system Active 21h
kubernetes-dashboard Active 20h
[root@k8s-01 ~]#
输出信息显示了当前集群中存在的命名空间。每个命名空间都有一个状态和一个年龄。
以下是输出信息的解释:
default:默认的命名空间,用于存放没有指定命名空间的资源。
kube-node-lease:用于存放节点租约信息的命名空间。
kube-public:用于存放公共资源的命名空间,任何人都可以访问。
kube-system:用于存放集群的核心组件和控制器的命名空间。
kubernetes-dashboard:用于存放Kubernetes仪表板的命名空间。
my-namespace:自定义的命名空间,用户创建的命名空间。
二、创建和管理Namespace
2.1 创建Namespace
在Kubernetes中创建一个Namespace非常简单,可以通过kubectl命令行工具或者YAML文件进行创建。
使用kubectl命令创建Namespace的语法如下:
kubectl create namespace <namespace-name>
或者
kubectl create ns <namespace-name>
例如,创建一个名为”my-namespace”的Namespace:
kubectl create namespace my-namespace
或者
kubectl create ns my-namespace
使用YAML文件创建Namespace的示例:
touch my-namespace.yaml文件。再使用命令kubectl apply -f my-namespace.yaml,创建Namespace。
apiVersion: v1
kind: Namespace
metadata:
name: my-namespace
通过kubectl命令创建Namespace的方式更为常用,因为它更直观且方便管理。
2.2 管理Namespace
管理Namespace主要涉及到查看、切换和删除Namespace。
查看所有Namespace的命令如下:
kubectl get namespaces
查看指定命名空间的详细信息,可以使用以下命令:
kubectl get namespace <namespace-name>
例如,要查看名为”my-namespace”的命名空间的详细信息,可以运行以下命令:
kubectl get namespace my-namespace
此命令将显示有关该命名空间的详细信息,包括名称、状态、创建时间等。
如果要查看命名空间中的所有资源(如Pod、Deployment等),可以使用以下命令:
kubectl get all -n <namespace-name>
例如,要查看命名空间”my-namespace”中的所有资源,可以运行以下命令:
kubectl get all -n my-namespace
此命令将显示命名空间中的所有资源的详细信息,包括资源类型、名称、状态等。
切换到指定Namespace的命令如下:
kubectl config set-context --current --namespace=<namespace-name>
查看当前使用的 namespace 命令如下:
kubectl describe sa default | grep Namespace
删除指定Namespace的命令如下:
kubectl delete namespace <namespace-name>
需要注意的是,删除Namespace会将其下的所有资源对象一并删除,请谨慎操作。
三、Namespace的实战应用
3.1 部署多个项目
Namespace可以用于在同一个Kubernetes集群上部署多个项目,实现资源的复用和共享。不同的项目可以在各自的Namespace中进行部署,相互之间不会产生冲突。
例如,我们可以创建两个Namespace,分别用于部署”project-A”和”project-B”:
apiVersion: v1
kind: Namespace
metadata:
name: project-a
---
apiVersion: v1
kind: Namespace
metadata:
name: project-b
这样,”project-A”和”project-B”就可以在各自的Namespace中独立进行部署和管理。
3.2 环境隔离
Namespace还可以实现不同环境之间的隔离,例如开发、测试和生产环境。通过为每个环境创建独立的Namespace,可以确保不同环境之间的资源和配置相互隔离,避免因为环境问题导致的不可预期的故障。
例如,可以创建三个Namespace分别用于开发、测试和生产环境:
apiVersion: v1
kind: Namespace
metadata:
name: dev
---
apiVersion: v1
kind: Namespace
metadata:
name: test
---
apiVersion: v1
kind: Namespace
metadata:
name: prod
这样,开发团队可以在dev Namespace中进行开发和测试,测试团队可以在test Namespace中进行测试,而生产环境则部署在prod Namespace中。
3.3 资源配额控制
Namespace还可以用于控制资源的配额和使用情况。通过设置资源配额,可以限制每个Namespace中的资源使用量,避免资源被某个团队或项目独占,确保公平和合理的资源分配。
例如,可以为每个Namespace设置资源配额,限制CPU和内存的使用量:
apiVersion: v1
kind: ResourceQuota
metadata:
name: my-quota
namespace: my-namespace
spec:
hard:
requests.cpu: "1"
requests.memory: "1Gi"
limits.cpu: "2"
limits.memory: "2Gi"
这样,my-namespace Namespace中的资源使用量将受到限制。
3.4 访问控制
Namespace还可以用于实现访问控制,限制不同团队或项目对资源的访问权限。通过RBAC(Role-Based Access Control)机制,可以为每个Namespace分配不同的角色和权限,实现细粒度的访问控制。
例如,可以为每个Namespace创建不同的ServiceAccount,并根据需要为其分配不同的角色和权限。
apiVersion: v1
kind: ServiceAccount
metadata:
name: my-serviceaccount
namespace: my-namespace
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: my-role
namespace: my-namespace
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "create", "delete"]
#verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 可读写
#verbs: ["get", "watch", "list"] # 只读权限
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-rolebinding
namespace: my-namespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: my-role
subjects:
- kind: ServiceAccount
name: my-serviceaccount
namespace: my-namespace
这样,my-serviceaccount就拥有了在my-namespace Namespace中对pods资源进行get、list、create和delete操作的权限。
1、获取指定命名空间(my-namespace)中的所有ServiceAccount(SA)的列表
kubectl get sa -n my-namespace
2、获取指定命名空间(my-namespace)中的角色(role)对象的信息
kubectl get role -n my-namespace
3、获取指定命名空间中的角色(Role)的详细信息,包括角色名称、命名空间、创建时间、标签、规则等。
kubectl describe role -n my-namespace my-role
4、获取指定命名空间中的所有角色绑定(rolebinding)的命令
kubectl get rolebinding -n my-namespace
四、Namespace的最佳实践
4.1 命名规范
为了方便管理和维护,建议为Namespace使用一致的命名规范。可以根据团队、项目或环境等进行命名,例如team-a、project-b或dev等。
4.2 资源限制
在创建Namespace时,可以根据实际需求设置资源限制。合理的资源限制可以避免资源被独占,确保公平和合理的资源分配。
4.3 监控和日志
对于每个Namespace,建议设置监控和日志系统,及时了解资源使用情况和应用程序运行状态。可以使用Prometheus、Grafana等工具进行监控,ELK等工具进行日志收集和分析。
4.4 清理和维护
定期清理不再使用的Namespace和资源对象,避免资源浪费和集群混乱。可以设置自动清理策略,例如使用TTL Controller进行自动删除过期的Namespace。
总结:希望本篇博客能够帮助读者更好地理解和应用Kubernetes的Namespace功能。如果有任何问题或建议,欢迎留言讨论。
|
💖The End💖点点关注,收藏不迷路💖
|
