如何管理 Kubernetes 命名空间

简介

本全面教程将探讨 Kubernetes 命名空间，这是一种用于在集群中组织和隔离资源的关键机制。通过了解命名空间的基本原理，开发人员和 DevOps 专业人员可以有效地管理复杂的容器化环境、实施细粒度的访问控制并防止资源命名冲突。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL kubernetes(("Kubernetes")) -.-> kubernetes/ConfigurationandVersioningGroup(["Configuration and Versioning"]) kubernetes(("Kubernetes")) -.-> kubernetes/BasicCommandsGroup(["Basic Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/TroubleshootingandDebuggingCommandsGroup(["Troubleshooting and Debugging Commands"]) kubernetes/BasicCommandsGroup -.-> kubernetes/get("Get") kubernetes/BasicCommandsGroup -.-> kubernetes/create("Create") kubernetes/BasicCommandsGroup -.-> kubernetes/delete("Delete") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/describe("Describe") kubernetes/ConfigurationandVersioningGroup -.-> kubernetes/config("Config") subgraph Lab Skills kubernetes/get -.-> lab-390475{{"如何管理 Kubernetes 命名空间"}} kubernetes/create -.-> lab-390475{{"如何管理 Kubernetes 命名空间"}} kubernetes/delete -.-> lab-390475{{"如何管理 Kubernetes 命名空间"}} kubernetes/describe -.-> lab-390475{{"如何管理 Kubernetes 命名空间"}} kubernetes/config -.-> lab-390475{{"如何管理 Kubernetes 命名空间"}} end

命名空间基础

什么是 Kubernetes 命名空间？

Kubernetes 命名空间是虚拟集群，为在单个集群中隔离资源组提供了一种机制。它们是管理和隔离 Kubernetes 资源的基本组织单元，有助于实现更好的资源管理和访问控制。

命名空间的关键特性

命名空间为资源组织提供了几个关键特性：

特性	描述
资源隔离	将资源分隔成逻辑组
访问控制	实施细粒度的权限管理
资源命名	防止不同团队之间的命名冲突
集群分割	为多个项目划分集群资源

命名空间架构

graph TD A[Kubernetes 集群] --> B[命名空间 1] A --> C[命名空间 2] A --> D[命名空间 3] B --> E[Pod] B --> F[服务] C --> G[部署] C --> H[配置映射]

创建和管理命名空间

使用 kubectl 创建命名空间的示例：

## 创建一个新的命名空间
kubectl create namespace development

## 验证命名空间创建
kubectl get namespaces

## 在特定命名空间中创建资源
kubectl create deployment nginx-app --image=nginx -n development

默认命名空间

Kubernetes 提供了几个默认命名空间：

default：未指定命名空间的资源
kube-system：系统级资源和核心 Kubernetes 组件
kube-public：可公开访问的资源
kube-node-lease：节点心跳信息

命名空间中的资源范围

大多数 Kubernetes 资源是命名空间范围的，这意味着它们存在于特定的命名空间中。但是，一些集群级资源（如节点和持久卷）不受命名空间限制。

命名空间操作

创建命名空间

Kubernetes 提供了多种创建命名空间的方法：

使用 kubectl 命令

## 使用 kubectl 创建命名空间
kubectl create namespace production

## 使用 YAML 配置创建命名空间
kubectl create -f namespace.yaml

YAML 配置示例

apiVersion: v1
kind: Namespace
metadata:
  name: staging

命名空间管理操作

操作	命令	描述
列出命名空间	`kubectl get namespaces`	显示所有现有命名空间
描述命名空间	`kubectl describe namespace dev`	显示命名空间的详细信息
删除命名空间	`kubectl delete namespace staging`	删除特定命名空间

命名空间内的资源管理

graph TD A[命名空间] --> B[Pod] A --> C[部署] A --> D[服务] A --> E[配置映射]

将资源部署到特定命名空间

## 将应用部署到特定命名空间
kubectl apply -f deployment.yaml -n production

## 列出命名空间中的资源
kubectl get pods -n development

命名空间上下文切换

## 设置默认命名空间上下文
kubectl config set-context --current --namespace=staging

## 查看当前命名空间
kubectl config view | grep namespace

资源配额和限制

apiVersion: v1
kind: ResourceQuota
metadata:
  name: resource-limits
  namespace: production
spec:
  hard:
    pods: "10"
    requests.cpu: "4"
    requests.memory: 8Gi

命名空间最佳实践

命名空间设计策略

有效的命名空间设计对于维护一个干净且组织有序的 Kubernetes 集群至关重要。考虑以下架构方法：

graph TD A[集群] --> B[开发命名空间] A --> C[预发布命名空间] A --> D[生产命名空间] B --> E[特定团队子命名空间] C --> F[特定应用资源] D --> G[关键生产工作负载]

多租户命名空间配置

策略	描述	推荐用途
基于环境的隔离	隔离环境	开发、预发布、生产
基于团队的命名空间	分隔团队资源	微服务团队
特定项目的命名空间	逻辑应用分组	复杂微服务架构

跨命名空间通信

服务发现配置

apiVersion: v1
kind: Service
metadata:
  name: cross-namespace-service
  namespace: shared-services
spec:
  type: ClusterIP
  selector:
    app: backend
  ports:
    - port: 80
      targetPort: 8080

安全最佳实践

命名空间资源隔离

## 应用网络策略以限制跨命名空间通信
kubectl apply -f network-policy.yaml

网络策略示例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: namespace-isolation
  namespace: production
spec:
  podSelector: {}
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              environment: production

资源配额管理

apiVersion: v1
kind: ResourceQuota
metadata:
  name: namespace-resource-limits
spec:
  hard:
    requests.cpu: "4"
    requests.memory: 8Gi
    limits.cpu: "8"
    limits.memory: 16Gi

标签和注释策略

## 为命名空间添加描述性标签
kubectl label namespace development team=backend owner=engineering

命名空间隔离技术

使用网络策略
实施基于角色的访问控制（RBAC）
配置资源配额
使用Pod安全策略

总结

Kubernetes 命名空间提供了一种强大的资源管理方法，使团队能够在逻辑上对集群进行分段、控制访问，并维护干净、有序的容器基础设施。通过掌握命名空间的创建、配置和最佳实践，组织可以增强其容器编排策略并提高整体集群效率。