0%

使用名称空间共享集群

发表于 分类于

查看、创建、删除、使用namespace

使用名称空间共享集群

一、查看名称空间

查看集群中的名称空间列表:

1
2
3
4
5
6
[root@k8s-master k8s-yamls]# kubectl get namespaces
NAME              STATUS   AGE
default           Active   23h
kube-node-lease   Active   23h
kube-public       Active   23h
kube-system       Active   23h

Kubernetes 安装成功后,默认有初始化了三个名称空间:

  • default 默认名称空间,如果 Kubernetes 对象中不定义 metadata.namespace 字段,该对象将放在此名称空间下
  • kube-system Kubernetes系统创建的对象放在此名称空间下
  • kube-public 此名称空间自动在安装集群是自动创建,并且所有用户都是可以读取的(即使是那些未登录的用户)。主要是为集群预留的,例如,某些情况下,某些Kubernetes对象应该被所有集群用户看到。

查看名称空间详细信息:

1
2
3
4
5
6
7
8
9
[root@k8s-master k8s-yamls]# kubectl describe namespaces kube-system
Name:         kube-system
Labels:       <none>
Annotations:  <none>
Status:       Active

No resource quota.

No resource limits.
  • Resource quota 汇总了名称空间中使用的资源总量,并指定了集群管理员定义该名称空间最多可以使用的资源量
  • Limit range 定义了名称空间中某种具体的资源类型的最大、最小值

名称空间可能有两种状态(phase):

  • Active 名称空间正在使用中
  • Termining 名称空间正在被删除,不能再向其中创建新的对象

二、创建名称空间

使用kubectl有两种方式创建名称空间

1.通过 yaml 文件,创建文件 my-namespace.yaml 

1
2
3
4
5
6
7
apiVersion: v1
kind: Namespace
metadata:
  name: <名称空间的名字>

#执行命令
kubectl create -f ./my-namespace.yaml
  1. 直接使用命令创建名称空间: 
1
kubectl create namespace <名称空间的名字>

注意: 名称空间可以定义一个可选项字段 finalizers,在名称空间被删除时,用来清理相关的资源。

如果定义了一个不存在的 finalizer,仍然可以成功创建名称空间,但是当删除该名称空间时,将卡在 Terminating 状态。

三、删除名称空间

1
kubectl delete namespaces <名称空间的名字>

注意:

该操作将删除名称空间中的所有内容( 此删除操作是异步的,名称空间会停留在 Terminating 状态一段时间。 )

四、使用名称空间切分集群

理解 default 名称空间

默认情况下,安装Kubernetes集群时,会初始化一个 default 名称空间,用来将承载那些未指定名称空间的 Pod、Service、Deployment等对象

创建新的名称空间

假设企业使用同一个集群作为开发环境和生产环境(注意:通常开发环境和生产环境是物理隔绝的):

  • 开发团队期望有一个集群中的空间,以便他们可以查看查看和使用他们创建的 Pod、Service、Deployment等。在此空间中,Kubernetes对象被创建又被删除,为了适应敏捷开发的过程,团队中的许多人都可以在此空间内做他们想做的事情。

  • 运维团队也期望有一个集群中的空间,在这里,将有严格的流程控制谁可以操作 Pod、Service、Deployment等对象,因为这些对象都直接服务于生产环境。

    此时,可以将一个Kubernetes集群切分成两个名称空间:developmentproduction。创建名称空间的 yaml 文件如下所示:

1
2
3
4
5
6
apiVersion: v1
kind: Namespace
metadata:
  name: development
  labels:
    name: development

执行命令以创建 development 名称空间: 

1
2
3
4
5
6
7
8
9
10
[root@k8s-master k8s-yamls]# kubectl create -f dev.yaml 
namespace/development created
[root@k8s-master k8s-yamls]# kubectl get namespaces --show-labels
NAME              STATUS   AGE     LABELS
default           Active   23h     <none>
development       Active   2m10s   name=development
kube-node-lease   Active   23h     <none>
kube-public       Active   23h     <none>
kube-system       Active   23h     <none>
production        Active   67s     name=production

在每个名称空间中创建 Pod

Kubernetes名称空间为集群中的 Pod、Service、Deployment 提供了一个作用域。可以限定使用某个名称空间的用户不能看到另外一个名称空间中的内容。我们可以在 development 名称空间中创建一个简单的 Deployment 和 Pod 来演示这个特性。

1.执行命令以检查当前的 kubectl 上下文

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@k8s-master k8s-yamls]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.154.144:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

2.执行命令

1
2
[root@k8s-master k8s-yamls]# kubectl config current-context
kubernetes-admin@kubernetes

3.接下来,为 kubectl 定义一个上下文,以便在不同的名称空间中工作。clusteruser 字段的取值从前面的 current context 复制过来: 

1
2
3
4
[root@k8s-master k8s-yamls]# kubectl config set-context dev --namespace=development --cluster=kubernetes-admin@kubernetes --user=kubernetes-admin@kubernetes
Context "dev" created.
[root@k8s-master k8s-yamls]# kubectl config set-context prod --namespace=production --cluster=kubernetes-admin@kubernetes --user=kubernetes-admin@kubernetes
Context "prod" created.

上面的命令创建了两个 kubectl 的上下文,可以在两个不同的名称空间中工作:

  1. 切换到 development 名称空间: 
1
2
3
4
5
6
[root@k8s-master k8s-yamls]# kubectl config use-context dev
Switched to context "dev".

#验证
[root@k8s-master k8s-yamls]# kubectl config current-context
dev

此时,通过 kubectl 向 Kubernetes 集群发出的所有指令都限定在名称空间 development

在不同的namespace里工作

创建一个 nginx

1
2
3
4
5
6
7
8
9
10
11
kubectl run snowflake --image=nginx:1.7.9 --replicas=2

#刚刚创建的 Deployment 副本数为 2,运行了一个 nginx 容器。
kubectl get deployment
NAME        DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
snowflake   2         2         2            2           2m

kubectl get pods -l run=snowflake
NAME                         READY     STATUS    RESTARTS   AGE
snowflake-3968820950-9dgr8   1/1       Running   0          2m
snowflake-3968820950-vgc4n   1/1       Running   0          2m
  • 此时,开发人员可以做任何他想要做的操作,所有操作都限定在名称空间 development 里,而无需担心影响到 production 名称空间中的内容
  • 用户在一个名称空间创建的内容对于另外一个名称空间来说是不可见的。同时也可以为不同的名称空间定义不同的访问权限控制。

为什么需要名称空间

一个Kubernetes集群应该可以满足多组用户的不同需要。Kubernetes名称空间可以使不同的项目、团队或客户共享同一个 Kubernetes 集群。实现的方式是,提供:

  • namespace的作用域
  • 为不同的名称空间定义不同的授权方式和资源分配策略 Resource Quota 和 resource limit range

每一个用户组都期望独立于其他用户组进行工作。通过名称空间,每个用户组拥有自己的:

  • Kubernetes 对象(Pod、Service、Deployment等)
  • 授权(谁可以在该名称空间中执行操作)
  • 资源分配(该用户组或名称空间可以使用集群中的多少计算资源)

可能的使用情况有:

  • 集群管理员通过一个Kubernetes集群支持多个用户组
  • 集群管理员将集群中某个名称空间的权限分配给用户组中的受信任的成员
  • 集群管理员可以限定某一个用户组可以消耗的资源数量,以避免其他用户组受到影响
  • 集群用户可以使用自己的Kubernetes对象,而不会与集群中的其他用户组相互干扰