Kubernetes 入門
1. Kubernetes 生產(chǎn)環(huán)境
2. Kubernetes 最佳實踐
Kubernetes 概述
1. Kubernetes 簡介
2. Kubernetes 組件
3. Kubernetes API
Kubernetes 安裝
1. Kubernetes Linux安裝
2. Kubernetes macOS安裝
3. Kubernetes Windows安裝
Kubernetes 對象
1. Kubernetes 對象簡介
2. Kubernetes 對象管理
3. Kubernetes 對象名稱和IDs
4. Kubernetes 名字空間
5. Kubernetes 標(biāo)簽和選擇算符
6. Kubernetes 注解
7. Kubernetes Finalizers
8. Kubernetes 字段選擇器
9. Kubernetes 屬主與附屬
10. Kubernetes 推薦使用的標(biāo)簽
Kubernetes 架構(gòu)
1. Kubernetes 節(jié)點
2. Kubernetes 控制面到節(jié)點通信
3. Kubernetes 控制器
4. Kubernetes 云控制器管理器
5. Kubernetes 垃圾收集
6. Kubernetes 容器運行時接口（CRI）
Kubernetes 容器
1. Kubernetes 鏡像
2. Kubernetes 容器環(huán)境
3. Kubernetes 容器運行時類（Runtime Class）
4. Kubernetes 容器生命周期回調(diào)
Kubernetes Pods
1. Kubernetes Pod的生命周期
2. Kubernetes Init容器
3. Kubernetes Pod拓撲分布約束
4. Kubernetes 干擾（Disruptions）
5. Kubernetes 臨時容器
Kubernetes 工作負載資源
1. Kubernetes Deployments
2. Kubernetes ReplicaSet
3. Kubernetes StatefulSets
4. Kubernetes DaemonSet
5. Kubernetes Jobs
6. Kubernetes 已完成 Job 的自動清理
7. Kubernetes CronJob
8. Kubernetes ReplicationController
Kubernetes 服務(wù)、負載均衡和聯(lián)網(wǎng)
1. Kubernetes 使用拓撲鍵實現(xiàn)拓撲感知的流量路由
2. Kubernetes 服務(wù)
3. Kubernetes Pod 與 Service 的 DNS
4. Kubernetes 使用 Service 連接到應(yīng)用
5. Kubernetes Ingress
6. Kubernetes Ingress 控制器
7. Kubernetes 拓撲感知提示
8. Kubernetes 服務(wù)內(nèi)部流量策略
9. Kubernetes 端點切片（Endpoint Slices）
10. Kubernetes 網(wǎng)絡(luò)策略
11. Kubernetes IPv4/IPv6 雙協(xié)議棧
Kubernetes 存儲
1. Kubernetes 卷
2. Kubernetes 持久卷
3. Kubernetes 投射卷
4. Kubernetes 臨時卷
5. Kubernetes 存儲類
Kubernetes 配置
1. Kubernetes 配置最佳實踐
2. Kubernetes ConfigMap
3. Kubernetes Secret
4. Kubernetes 為 Pod 和容器管理資源
5. Kubernetes 使用 kubeconfig 文件組織集群訪問
6. Kubernetes Windows 節(jié)點的資源管理
Kubernetes 安全
1. Kubernetes 云原生安全概述
2. Kubernetes Pod安全性標(biāo)準(zhǔn)
3. Kubernetes Pod安全性準(zhǔn)入
4. Kubernetes Pod安全策略
5. Kubernetes Windows節(jié)點的安全性
6. Kubernetes API訪問控制
7. Kubernetes 基于角色的訪問控制良好實踐
Kubernetes 策略
1. Kubernetes 限制范圍
2. Kubernetes 資源配額
3. Kubernetes 進程ID約束與預(yù)留
4. Kubernetes 節(jié)點資源管理器
Kubernetes 調(diào)度，搶占和驅(qū)逐
1. Kubernetes 調(diào)度器
2. Kubernetes 將Pod指派給節(jié)點
3. Kubernetes Pod開銷
4. Kubernetes 污點和容忍度
5. Kubernetes Pod優(yōu)先級和搶占
6. Kubernetes 節(jié)點壓力驅(qū)逐
7. Kubernetes API發(fā)起的驅(qū)逐
8. Kubernetes 擴展資源的資源裝箱
9. Kubernetes 調(diào)度框架
10. Kubernetes 調(diào)度器性能調(diào)優(yōu)
Kubernetes 集群管理
1. Kubernetes 管理資源
2. Kubernetes 集群網(wǎng)絡(luò)系統(tǒng)
3. Kubernetes 系統(tǒng)組件指標(biāo)
4. Kubernetes 日志架構(gòu)
5. Kubernetes 系統(tǒng)日志
6. Kubernetes 追蹤系統(tǒng)組件
7. Kubernetes 代理
8. Kubernetes API優(yōu)先級和公平性
9. Kubernetes 安裝擴展（Addons）
Kubernetes 擴展
1. Kubernetes 擴展API
  1. Kubernetes 定制資源
  2. Kubernetes 通過聚合層擴展API
2. Kubernetes Operator模式
3. Kubernetes 計算、存儲和網(wǎng)絡(luò)擴展
  1. Kubernetes 網(wǎng)絡(luò)插件
  2. Kubernetes 設(shè)備插件
4. Kubernetes 服務(wù)目錄
Kubernetes 應(yīng)用故障排除
1. Kubernetes 調(diào)試Pod
2. Kubernetes 調(diào)試Service
3. Kubernetes 調(diào)試StatefulSet
4. Kubernetes 調(diào)試Init容器
5. Kubernetes 確定Pod失敗的原因
6. Kubernetes 獲取正在運行容器的Shell
7. Kubernetes 調(diào)試運行中的Pod
Kubernetes 集群故障排查
1. Kubernetes 資源指標(biāo)管道
2. Kubernetes 節(jié)點健康監(jiān)測
3. Kubernetes 使用crictl對Kubernetes節(jié)點進行調(diào)試
4. Kubernetes Windows調(diào)試提示
5. Kubernetes 使用telepresence在本地開發(fā)和調(diào)試服務(wù)
6. Kubernetes 審計
7. Kubernetes 資源監(jiān)控工具
Kubernetes 管理集群
1. Kubernetes 從dockershim遷移
  1. Kubernetes 將節(jié)點上的容器運行時從Docker Engine改為containerd
  2. Kubernetes 將Docker Engine節(jié)點從dockershim遷移到cri-dockerd
  3. Kubernetes CNI插件相關(guān)錯誤故障排除
  4. Kubernetes 查明節(jié)點上所使用的容器運行時
  5. Kubernetes 檢查棄用Dockershim是否對你有影響
  6. Kubernetes 從dockershim遷移遙測和安全代理
2. Kubernetes 用kubeadm進行管理
  1. Kubernetes 使用kubeadm進行證書管理
  2. Kubernetes 配置cgroup驅(qū)動
  3. Kubernetes 重新配置kubeadm集群
  4. Kubernetes 升級kubeadm集群
  5. Kubernetes 添加Windows節(jié)點
  6. Kubernetes 升級Windows節(jié)點
3. Kubernetes 手動生成證書
4. Kubernetes 管理內(nèi)存，CPU和API資源
  1. Kubernetes 為命名空間配置默認的內(nèi)存請求和限制
  2. Kubernetes 為命名空間配置默認的CPU請求和限制
  3. Kubernetes 配置命名空間的最小和最大內(nèi)存約束
  4. Kubernetes 為命名空間配置CPU最小和最大約束
  5. Kubernetes 為命名空間配置內(nèi)存和CPU配額
  6. Kubernetes 配置命名空間下Pod配額
5. Kubernetes 安裝網(wǎng)絡(luò)策略驅(qū)動
  1. Kubernetes 使用Antrea提供NetworkPolicy
  2. Kubernetes 使用Calico提供NetworkPolicy
  3. Kubernetes 使用Cilium提供NetworkPolicy
  4. Kubernetes 使用kube-router提供NetworkPolicy
  5. Kubernetes 使用Romana提供NetworkPolicy
  6. Kubernetes 使用Weave Net提供NetworkPolicy
6. Kubernetes IP Masquerade Agent用戶指南
7. Kubernetes 云管理控制器
8. Kubernetes 驗證簽名的容器鏡像
9. Kubernetes 運行 etcd 集群
10. Kubernetes 為系統(tǒng)守護進程預(yù)留計算資源
11. Kubernetes 為節(jié)點發(fā)布擴展資源
12. Kubernetes 以非root用戶身份運行Kubernetes節(jié)點組件
13. Kubernetes 使用CoreDNS進行服務(wù)發(fā)現(xiàn)
14. Kubernetes 使用KMS驅(qū)動進行數(shù)據(jù)加密
15. Kubernetes 使用Kubernetes API訪問集群
16. Kubernetes 使用NUMA感知的內(nèi)存管理器
17. Kubernetes 保護集群
18. Kubernetes 關(guān)鍵插件Pod的調(diào)度保證
19. Kubernetes 升級集群
20. Kubernetes 名字空間演練
21. Kubernetes 啟用/禁用Kubernetes API
22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
23. Kubernetes 在Kubernetes集群中使用sysctl
24. Kubernetes 在運行中的集群上重新配置節(jié)點的kubelet
25. Kubernetes 在集群中使用級聯(lián)刪除
26. Kubernetes 聲明網(wǎng)絡(luò)策略
27. Kubernetes 安全地清空一個節(jié)點
28. Kubernetes 開發(fā)云控制器管理器
29. Kubernetes 開啟服務(wù)拓撲
30. Kubernetes 控制節(jié)點上的CPU管理策略
31. Kubernetes 控制節(jié)點上的拓撲管理策略
32. Kubernetes 改變默認StorageClass
33. Kubernetes 更改PersistentVolume的回收策略
34. Kubernetes 自動擴縮集群DNS服務(wù)
35. Kubernetes 自定義DNS服務(wù)
36. Kubernetes 調(diào)試DNS問題
37. Kubernetes 遷移多副本的控制面以使用云控制器管理器
38. Kubernetes 通過名字空間共享集群
39. Kubernetes 通過配置文件設(shè)置Kubelet參數(shù)
40. Kubernetes 配置API對象配額
41. Kubernetes 限制存儲消耗
42. Kubernetes 靜態(tài)加密Secret數(shù)據(jù)
Kubernetes 配置Pods和容器
1. Kubernetes 為容器和Pod分配內(nèi)存資源
2. Kubernetes 為Windows Pod和容器配置GMSA
3. Kubernetes 為Windows的Pod和容器配置RunAsUserName
4. Kubernetes 為容器和Pods分配CPU資源
5. Kubernetes 創(chuàng)建Windows HostProcess Pod
6. Kubernetes 配置Pod的服務(wù)質(zhì)量
7. Kubernetes 為容器分派擴展資源
8. Kubernetes 配置Pod以使用卷進行存儲
9. Kubernetes 配置Pod以使用PersistentVolume作為存儲
10. Kubernetes 配置Pod使用投射卷作存儲
11. Kubernetes 為Pod或容器配置安全上下文
12. Kubernetes 為Pod配置服務(wù)賬戶
13. Kubernetes 從私有倉庫拉取鏡像
14. Kubernetes 配置存活、就緒和啟動探測器
15. Kubernetes 將Pod分配給節(jié)點
16. Kubernetes 用節(jié)點親和性把Pods分配到節(jié)點
17. Kubernetes 配置Pod初始化
18. Kubernetes 為容器的生命周期事件設(shè)置處理函數(shù)
19. Kubernetes 配置Pod使用ConfigMap
20. Kubernetes 在Pod中的容器之間共享進程命名空間
21. Kubernetes 創(chuàng)建靜態(tài)Pod
22. Kubernetes 將Docker Compose文件轉(zhuǎn)換為Kubernetes資源
23. Kubernetes 從PodSecurityPolicy遷移到內(nèi)置的PodSecurity準(zhǔn)入控制器
24. Kubernetes 使用名字空間標(biāo)簽來實施Pod安全性標(biāo)準(zhǔn)
25. Kubernetes 通過配置內(nèi)置準(zhǔn)入控制器實施Pod安全標(biāo)準(zhǔn)
Kubernetes 管理Kubernetes對象
1. Kubernetes 使用配置文件對Kubernetes對象進行聲明式管理
2. Kubernetes 使用Kustomize對Kubernetes對象進行聲明式管理
3. Kubernetes 使用指令式命令管理Kubernetes對象
4. Kubernetes 使用配置文件對Kubernetes對象進行命令式管理
5. Kubernetes 使用kubectl patch更新API對象
Kubernetes 管理Secrets
1. Kubernetes 使用kubectl管理Secret
2. Kubernetes 使用配置文件管理Secret
3. Kubernetes 使用Kustomize管理Secret
Kubernetes 給應(yīng)用注入數(shù)據(jù)
1. Kubernetes 為容器設(shè)置啟動時要執(zhí)行的命令和參數(shù)
2. Kubernetes 為容器設(shè)置環(huán)境變量
3. Kubernetes 定義相互依賴的環(huán)境變量
4. Kubernetes 通過環(huán)境變量將Pod信息呈現(xiàn)給容器
5. Kubernetes 通過文件將Pod信息呈現(xiàn)給容器
6. Kubernetes 使用Secret安全地分發(fā)憑證
Kubernetes 運行應(yīng)用
1. Kubernetes 使用Deployment運行一個無狀態(tài)應(yīng)用
2. Kubernetes 運行一個單實例有狀態(tài)應(yīng)用
3. Kubernetes 運行一個有狀態(tài)的應(yīng)用程序
4. Kubernetes 刪除StatefulSet
5. Kubernetes 強制刪除StatefulSet中的Pods
6. Kubernetes Pod水平自動擴縮
7. Kubernetes HorizontalPodAutoscaler演練
8. Kubernetes 為應(yīng)用程序設(shè)置干擾預(yù)算（Disruption Budget）
9. Kubernetes 從Pod中訪問Kubernetes API
10. Kubernetes 擴縮StatefulSet
Kubernetes 運行Jobs
1. Kubernetes 使用CronJob運行自動化任務(wù)
2. Kubernetes 使用工作隊列進行粗粒度并行處理
3. Kubernetes 使用工作隊列進行精細的并行處理
4. Kubernetes 使用索引作業(yè)完成靜態(tài)工作分配下的并行處理
5. Kubernetes 使用展開的方式進行并行處理
Kubernetes 訪問集群中的應(yīng)用程序
1. Kubernetes 部署和訪問Kubernetes儀表板（Dashboard）
2. Kubernetes 訪問集群
3. Kubernetes 使用端口轉(zhuǎn)發(fā)來訪問集群中的應(yīng)用
4. Kubernetes 使用服務(wù)來訪問集群中的應(yīng)用
5. Kubernetes 使用Service把前端連接到后端
6. Kubernetes 創(chuàng)建外部負載均衡器
7. Kubernetes 列出集群中所有運行容器的鏡像
8. Kubernetes 在Minikube環(huán)境中使用NGINX Ingress控制器配置Ingress
9. Kubernetes 為集群配置DNS
10. Kubernetes 同Pod內(nèi)的容器使用共享卷通信
11. Kubernetes 訪問集群上運行的服務(wù)
12. Kubernetes 配置對多集群的訪問
Kubernetes 擴展Kubernetes
1. Kubernetes 使用自定義資源
  1. Kubernetes 使用CustomResourceDefinition擴展Kubernetes API
  2. Kubernetes CustomResourceDefinition的版本
2. Kubernetes 配置聚合層
3. Kubernetes 安裝一個擴展的API server
4. Kubernetes 配置多個調(diào)度器
5. Kubernetes 使用HTTP代理訪問Kubernetes API
6. Kubernetes 使用SOCKS5代理訪問Kubernetes API
7. Kubernetes 設(shè)置Konnectivity服務(wù)
Kubernetes TLS
1. Kubernetes 為kubelet配置證書輪換
2. Kubernetes 手動輪換CA證書
3. Kubernetes 管理集群中的TLS認證
Kubernetes 管理集群守護進程
1. Kubernetes 對DaemonSet執(zhí)行滾動更新
2. Kubernetes 對DaemonSet執(zhí)行回滾
Kubernetes 安裝服務(wù)目錄
1. Kubernetes 使用Helm安裝Service Catalog
2. Kubernetes 使用SC安裝服務(wù)目錄
Kubernetes 網(wǎng)絡(luò)
1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加條目
2. Kubernetes 驗證IPv4/IPv6雙協(xié)議棧
Kubernetes 任務(wù)
1. Kubernetes 調(diào)度GPUs
2. Kubernetes 管理巨頁（HugePages）
3. Kubernetes 配置kubelet鏡像憑據(jù)提供程序
4. Kubernetes 用插件擴展kubectl
Kubernetes 安全
1. Kubernetes 使用AppArmor限制容器對資源的訪問
2. Kubernetes 在集群級別應(yīng)用Pod安全標(biāo)準(zhǔn)
3. Kubernetes 在名字空間級別應(yīng)用Pod安全標(biāo)準(zhǔn)
4. Kubernetes 使用seccomp限制容器的系統(tǒng)調(diào)用
Kubernetes 無狀態(tài)應(yīng)用程序
1. Kubernetes 公開外部IP地址以訪問集群中應(yīng)用程序
2. Kubernetes 示例：使用Redis部署PHP留言板應(yīng)用程序
Kubernetes 有狀態(tài)的應(yīng)用
1. Kubernetes StatefulSet基礎(chǔ)
2. Kubernetes 示例：使用Persistent Volumes部署WordPress和MySQL
3. Kubernetes 示例：使用StatefulSet部署Cassandra
4. Kubernetes 運行ZooKeeper，一個分布式協(xié)調(diào)系統(tǒng)
Kubernetes Service
1. Kubernetes 使用源IP

閱讀(1.2k) 書簽贊(0) 我要糾錯

Kubernetes 通過名字空間共享集群

2022-06-08 13:55 更新

通過名字空間共享集群

本頁展示如何查看、使用和刪除名字空間。本頁同時展示如何使用 Kubernetes 名字空間來劃分集群。

在開始之前

你已擁有一個配置好的 Kubernetes 集群。
你已對 Kubernetes 的 Pods , Services , 和 Deployments 有基本理解。

查看名字空間

列出集群中現(xiàn)有的名字空間：

kubectl get namespaces

NAME          STATUS    AGE
default       Active    11d
kube-system   Active    11d
kube-public   Active    11d

初始狀態(tài)下，Kubernetes 具有三個名字空間：

?default ?無名字空間對象的默認名字空間
?kube-system? 由 Kubernetes 系統(tǒng)創(chuàng)建的對象的名字空間
?kube-public? 自動創(chuàng)建且被所有用戶可讀的名字空間（包括未經(jīng)身份認證的）。此名字空間通常在某些資源在整個集群中可見且可公開讀取時被集群使用。此名字空間的公共方面只是一個約定，而不是一個必要條件。

你還可以通過下列命令獲取特定名字空間的摘要：

kubectl get namespaces <name>

或用下面的命令獲取詳細信息：

kubectl describe namespaces <name>

Name:           default
Labels:         <none>
Annotations:    <none>
Status:         Active

No resource quota.

Resource Limits
 Type       Resource    Min Max Default
 ----               --------    --- --- ---
 Container          cpu         -   -   100m

請注意，這些詳情同時顯示了資源配額（如果存在）以及資源限制區(qū)間。

資源配額跟蹤并聚合 Namespace 中資源的使用情況，并允許集群運營者定義 Namespace 可能消耗的 Hard 資源使用限制。

限制區(qū)間定義了單個實體在一個 Namespace 中可使用的最小/最大資源量約束。

名字空間可以處于下列兩個階段中的一個:

?Active ?名字空間正在被使用中。
?Terminating ?名字空間正在被刪除，且不能被用于新對象。

創(chuàng)建名字空間

Note: 避免使用前綴 ?kube-? 創(chuàng)建名字空間，因為它是為 Kubernetes 系統(tǒng)名字空間保留的。

新建一個名為 ?my-namespace.yaml? 的 YAML 文件，并寫入下列內(nèi)容：

apiVersion: v1
kind: Namespace
metadata:
  name: <insert-namespace-name-here>

然后運行：

kubectl create -f ./my-namespace.yaml

或者，你可以使用下面的命令創(chuàng)建名字空間：

kubectl create namespace <insert-namespace-name-here>

請注意，名字空間的名稱必須是一個合法的 DNS 標(biāo)簽。

可選字段 ?finalizers ?允許觀察者們在名字空間被刪除時清除資源。記住如果指定了一個不存在的終結(jié)器，名字空間仍會被創(chuàng)建，但如果用戶試圖刪除它，它將陷入 ?Terminating ?狀態(tài)。

刪除名字空間

刪除名字空間使用命令：

kubectl delete namespaces <insert-some-namespace-name>

Warning: 這會刪除名字空間下的所有內(nèi)容！

刪除是異步的，所以有一段時間你會看到名字空間處于 ?Terminating ?狀態(tài)。

使用 Kubernetes 名字空間細分你的集群

理解 default 名字空間

默認情況下，Kubernetes 集群會在配置集群時實例化一個 default 名字空間，用以存放集群所使用的默認 Pods、Services 和 Deployments 集合。

假設(shè)你有一個新的集群，你可以通過執(zhí)行以下操作來內(nèi)省可用的名字空間

kubectl get namespaces

NAME      STATUS    AGE
default   Active    13m

創(chuàng)建新的名字空間

在本練習(xí)中，我們將創(chuàng)建兩個額外的 Kubernetes 名字空間來保存我們的內(nèi)容。

在某組織使用共享的 Kubernetes 集群進行開發(fā)和生產(chǎn)的場景中：

開發(fā)團隊希望在集群中維護一個空間，以便他們可以查看用于構(gòu)建和運行其應(yīng)用程序的 Pods、Services 和 Deployments 列表。在這個空間里，Kubernetes 資源被自由地加入或移除，對誰能夠或不能修改資源的限制被放寬，以實現(xiàn)敏捷開發(fā)。

運維團隊希望在集群中維護一個空間，以便他們可以強制實施一些嚴格的規(guī)程，對誰可以或不可以操作運行生產(chǎn)站點的 Pods、Services 和 Deployments 集合進行控制。

該組織可以遵循的一種模式是將 Kubernetes 集群劃分為兩個名字空間：development 和 production。

讓我們創(chuàng)建兩個新的名字空間來保存我們的工作。

使用 kubectl 創(chuàng)建 ?development ?名字空間。

kubectl create -f https://k8s.io/examples/admin/namespace-dev.json

讓我們使用 kubectl 創(chuàng)建 ?production ?名字空間。

kubectl create -f https://k8s.io/examples/admin/namespace-prod.json

為了確保一切正常，列出集群中的所有名字空間。

kubectl get namespaces --show-labels

NAME          STATUS    AGE       LABELS
default       Active    32m       <none>
development   Active    29s       name=development
production    Active    23s       name=production

在每個名字空間中創(chuàng)建 pod

Kubernetes 名字空間為集群中的 Pods、Services 和 Deployments 提供了作用域。

與一個名字空間交互的用戶不會看到另一個名字空間中的內(nèi)容。

為了演示這一點，讓我們在 ?development ?名字空間中啟動一個簡單的 Deployment 和 Pod。

kubectl create deployment snowflake --image=k8s.gcr.io/serve_hostname -n=development
kubectl scale deployment snowflake --replicas=2 -n=development

我們創(chuàng)建了一個副本個數(shù)為 2 的 Deployment，運行名為 ?snowflake ?的 Pod，其中包含一個負責(zé)提供主機名的基本容器。

kubectl get deployment -n=development

NAME         READY   UP-TO-DATE   AVAILABLE   AGE
snowflake    2/2     2            2           2m

kubectl get pods -l app=snowflake -n=development

NAME                         READY     STATUS    RESTARTS   AGE
snowflake-3968820950-9dgr8   1/1       Running   0          2m
snowflake-3968820950-vgc4n   1/1       Running   0          2m

看起來還不錯，開發(fā)人員能夠做他們想做的事，而且他們不必擔(dān)心會影響到 ?production ?名字空間下面的內(nèi)容。

讓我們切換到 ?production ?名字空間，展示一下一個名字空間中的資源是如何對另一個名字空間隱藏的。

名字空間 ?production ?應(yīng)該是空的，下面的命令應(yīng)該不會返回任何東西。

kubectl get deployment -n=production
kubectl get pods -n=production

生產(chǎn)環(huán)境下一般以養(yǎng)牛的方式運行負載，所以讓我們創(chuàng)建一些 Cattle（牛）Pod。

kubectl create deployment cattle --image=k8s.gcr.io/serve_hostname -n=production
kubectl scale deployment cattle --replicas=5 -n=production

kubectl get deployment -n=production

NAME         READY   UP-TO-DATE   AVAILABLE   AGE
cattle       5/5     5            5           10s

kubectl get pods -l app=cattle -n=production

NAME                      READY     STATUS    RESTARTS   AGE
cattle-2263376956-41xy6   1/1       Running   0          34s
cattle-2263376956-kw466   1/1       Running   0          34s
cattle-2263376956-n4v97   1/1       Running   0          34s
cattle-2263376956-p5p3i   1/1       Running   0          34s
cattle-2263376956-sxpth   1/1       Running   0          34s

此時，應(yīng)該很清楚的展示了用戶在一個名字空間中創(chuàng)建的資源對另一個名字空間是隱藏的。

隨著 Kubernetes 中的策略支持的發(fā)展，我們將擴展此場景，以展示如何為每個名字空間提供不同的授權(quán)規(guī)則。

理解使用名字空間的動機

單個集群應(yīng)該能滿足多個用戶及用戶組的需求（以下稱為 “用戶社區(qū)”）。

Kubernetes 名字空間幫助不同的項目、團隊或客戶去共享 Kubernetes 集群。

名字空間通過以下方式實現(xiàn)這點：

為名字設(shè)置作用域.
為集群中的部分資源關(guān)聯(lián)鑒權(quán)和策略的機制。

使用多個名字空間是可選的。

每個用戶社區(qū)都希望能夠與其他社區(qū)隔離開展工作。

每個用戶社區(qū)都有自己的：

資源（pods、服務(wù)、副本控制器等等）
策略（誰能或不能在他們的社區(qū)里執(zhí)行操作）
約束（該社區(qū)允許多少配額，等等）

集群運營者可以為每個唯一用戶社區(qū)創(chuàng)建名字空間。

名字空間為下列內(nèi)容提供唯一的作用域：

命名資源（避免基本的命名沖突）
將管理權(quán)限委派給可信用戶
限制社區(qū)資源消耗的能力

用例包括:

作為集群運營者, 我希望能在單個集群上支持多個用戶社區(qū)。
作為集群運營者，我希望將集群分區(qū)的權(quán)限委派給這些社區(qū)中的受信任用戶。
作為集群運營者，我希望能限定每個用戶社區(qū)可使用的資源量，以限制對使用同一集群的其他用戶社區(qū)的影響。
作為集群用戶，我希望與我的用戶社區(qū)相關(guān)的資源進行交互，而與其他用戶社區(qū)在該集群上執(zhí)行的操作無關(guān)。

理解名字空間和 DNS

當(dāng)你創(chuàng)建服務(wù)時，Kubernetes 會創(chuàng)建相應(yīng)的 DNS 條目。此條目的格式為 ?<服務(wù)名稱>.<名字空間名稱>.svc.cluster.local?。這意味著如果容器使用 ?<服務(wù)名稱>?，它將解析為名字空間本地的服務(wù)。這對于在多個名字空間（如開發(fā)、暫存和生產(chǎn)）中使用相同的配置非常有用。如果要跨名字空間訪問，則需要使用完全限定的域名（FQDN）。

以上內(nèi)容是否對您有幫助：

← Kubernetes 遷移多副本的控制面以使用云控制器管理器

Kubernetes 通過配置文件設(shè)置Kubelet參數(shù) →

寫筆記

我要補充