命名空间简介
Kubernetes 命名空间 帮助不同的项目、团队或客户共享一个 Kubernetes 集群。
它通过提供以下功能来实现这一点:
- 为 名称 提供范围。
- 一种将授权和策略附加到集群子部分的机制。
使用多个命名空间是可选的。
本示例演示如何使用 Kubernetes 命名空间对集群进行细分。
开始之前
您需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议在至少有两个节点且不充当控制平面主机的集群上运行本教程。如果您还没有集群,可以使用 minikube 创建一个集群,或者您可以使用以下 Kubernetes 游乐场之一
要检查版本,请输入kubectl version。先决条件
本示例假设以下内容:
- 您有一个 现有的 Kubernetes 集群。
- 您对 Kubernetes Pod、服务 和 部署 有基本了解。
了解默认命名空间
默认情况下,Kubernetes 集群在配置集群时会实例化一个默认命名空间,以保存集群使用的默认 Pod、服务和部署集。
假设您有一个新的集群,您可以通过执行以下操作来检查可用的命名空间:
kubectl get namespaces
NAME STATUS AGE
default Active 13m
创建新的命名空间
在本练习中,我们将创建两个额外的 Kubernetes 命名空间来保存我们的内容。
让我们想象一下,一个组织正在使用共享的 Kubernetes 集群来进行开发和生产用例。
开发团队希望在集群中维护一个空间,让他们可以查看用于构建和运行其应用程序的 Pod、服务和部署列表。在这个空间中,Kubernetes 资源会不断变化,对谁可以或不能修改资源的限制也比较宽松,以支持敏捷开发。
运维团队希望在集群中维护一个空间,让他们可以在其中对谁可以或不能操作运行生产网站的 Pod、服务和部署集实施严格的流程。
此组织可以遵循的一种模式是将 Kubernetes 集群划分为两个命名空间:development 和 production。
让我们创建两个新的命名空间来保存我们的工作。
使用文件 namespace-dev.yaml,它描述了 development 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: development
labels:
name: development
使用 kubectl 创建 development 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-dev.yaml
将以下内容保存到文件 namespace-prod.yaml 中,该文件描述了 production 命名空间
apiVersion: v1
kind: Namespace
metadata:
name: production
labels:
name: production
然后让我们使用 kubectl 创建 production 命名空间。
kubectl create -f https://k8s.io/examples/admin/namespace-prod.yaml
为了确保一切正常,让我们列出集群中的所有命名空间。
kubectl get namespaces --show-labels
NAME STATUS AGE LABELS
default Active 32m <none>
development Active 29s name=development
production Active 23s name=production
在每个命名空间中创建 Pod
Kubernetes 命名空间为集群中的 Pod、服务和部署提供范围。
与一个命名空间交互的用户看不到另一个命名空间中的内容。
为了演示这一点,让我们在 development 命名空间中启动一个简单的部署和 Pod。
我们首先检查当前上下文
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
kubectl config current-context
lithe-cocoa-92103_kubernetes
下一步是为 kubectl 客户端定义一个上下文,以便在每个命名空间中工作。 "cluster" 和 "user" 字段的值是从当前上下文复制的。
kubectl config set-context dev --namespace=development \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
kubectl config set-context prod --namespace=production \
--cluster=lithe-cocoa-92103_kubernetes \
--user=lithe-cocoa-92103_kubernetes
默认情况下,上面的命令添加了两个上下文,它们保存在文件 .kube/config 中。您现在可以查看上下文并根据您希望处理的命名空间在两个新的请求上下文之间切换。
要查看新的上下文,请执行以下操作:
kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: REDACTED
server: https://130.211.122.180
name: lithe-cocoa-92103_kubernetes
contexts:
- context:
cluster: lithe-cocoa-92103_kubernetes
user: lithe-cocoa-92103_kubernetes
name: lithe-cocoa-92103_kubernetes
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: development
user: lithe-cocoa-92103_kubernetes
name: dev
- context:
cluster: lithe-cocoa-92103_kubernetes
namespace: production
user: lithe-cocoa-92103_kubernetes
name: prod
current-context: lithe-cocoa-92103_kubernetes
kind: Config
preferences: {}
users:
- name: lithe-cocoa-92103_kubernetes
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
token: 65rZW78y8HbwXXtSXuUw9DbP4FLjHi4b
- name: lithe-cocoa-92103_kubernetes-basic-auth
user:
password: h5M0FtUUIflBSdI7
username: admin
让我们切换到 development 命名空间进行操作。
kubectl config use-context dev
您可以通过执行以下操作来验证您的当前上下文:
kubectl config current-context
dev
此时,我们从命令行对 Kubernetes 集群的所有请求都限定在 development 命名空间中。
让我们创建一些内容。
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: snowflake
name: snowflake
spec:
replicas: 2
selector:
matchLabels:
app: snowflake
template:
metadata:
labels:
app: snowflake
spec:
containers:
- image: registry.k8s.io/serve_hostname
imagePullPolicy: Always
name: snowflake
应用清单以创建部署
kubectl apply -f https://k8s.io/examples/admin/snowflake-deployment.yaml
我们创建了一个部署,其副本大小为 2,它运行名为 snowflake 的 Pod,该 Pod 包含一个基本的容器,用于提供主机名。
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
snowflake 2/2 2 2 2m
kubectl get pods -l app=snowflake
NAME READY STATUS RESTARTS AGE
snowflake-3968820950-9dgr8 1/1 Running 0 2m
snowflake-3968820950-vgc4n 1/1 Running 0 2m
这很棒,开发人员可以随心所欲地进行操作,而且他们不必担心会影响 production 命名空间中的内容。
让我们切换到 production 命名空间,并演示一个命名空间中的资源如何对另一个命名空间隐藏。
kubectl config use-context prod
production 命名空间应该是空的,以下命令应该不会返回任何内容。
kubectl get deployment
kubectl get pods
生产喜欢运行牛,所以让我们创建一些牛 Pod。
kubectl create deployment cattle --image=registry.k8s.io/serve_hostname --replicas=5
kubectl get deployment
NAME READY UP-TO-DATE AVAILABLE AGE
cattle 5/5 5 5 10s
kubectl get pods -l app=cattle
NAME READY STATUS RESTARTS AGE
cattle-2263376956-41xy6 1/1 Running 0 34s
cattle-2263376956-kw466 1/1 Running 0 34s
cattle-2263376956-n4v97 1/1 Running 0 34s
cattle-2263376956-p5p3i 1/1 Running 0 34s
cattle-2263376956-sxpth 1/1 Running 0 34s
此时,应该很清楚,用户在一个命名空间中创建的资源对另一个命名空间是隐藏的。
随着 Kubernetes 中策略支持的不断发展,我们将扩展本示例,以演示如何为每个命名空间提供不同的授权规则。