Namespaces 隔离资源

在 Kubernetes 中，Namespaces 提供了一种将集群资源划分为多个逻辑分区的方式，这些分区可以用于隔离不同的用户、团队、项目或环境。每个 Namespace 内的资源与其他 Namespace 内的资源是隔离的，这样可以有效地避免资源冲突，并且可以为不同的 Namespace 设置不同的权限和策略。

以下是如何在 Kubernetes 中使用 Namespaces 隔离资源的步骤：

1. 创建 Namespace：

   • 使用 kubectl create namespace 命令创建一个新的 Namespace。例如，创建一个名为 my-namespace 的 Namespace：

     kubectl create namespace my-namespace
     

2. 查看 Namespace：

   • 使用 kubectl get namespaces 命令查看集群中所有的 Namespaces。
   • 要查看特定 Namespace 的详细信息，可以使用 kubectl describe namespace [NAMESPACE]。

3. 在 Namespace 中创建资源：

   • 当你在 Kubernetes 中创建资源时，可以通过指定 --namespace 参数来创建资源到特定的 Namespace。例如，创建一个 Deployment 到 my-namespace：

     kubectl create deployment my-app --namespace=my-namespace --image=my-image
     

4. 管理 Namespace 内的资源：

   • 所有 Kubernetes 资源管理命令（如 get, describe, delete 等）都可以加上 --namespace 参数来指定操作的 Namespace。

5. 设置 Resource Quotas：

   • 你可以为 Namespace 设置资源配额（Resource Quotas），以限制该 Namespace 内可以创建的资源数量和资源消耗。例如，创建一个 Resource Quota：

     apiVersion: v1
     kind: ResourceQuota
     metadata:
       name: my-quota
       namespace: my-namespace
     spec:
       hard:
         pods: "4"
         requests.cpu: "1"
         requests.memory: 1Gi
         limits.cpu: "2"
         limits.memory: 2Gi
     

   • 应用 Resource Quota 配置：

     kubectl apply -f quota.yaml
     

6. 设置 LimitRanges：

   • LimitRanges 允许你为 Namespace 内的资源设置默认请求和最大限制。例如，创建一个 LimitRange：

     apiVersion: v1
     kind: LimitRange
     metadata:
       name: my-limitrange
       namespace: my-namespace
     spec:
       limits:
       - default:
           cpu: 500m
           memory: 1Gi
         defaultRequest:
           cpu: 200m
           memory: 500Mi
         max:
           cpu: 1
           memory: 2Gi
         min:
           cpu: 100m
           memory: 50Mi
         type: Container
     

   • 应用 LimitRange 配置：

     kubectl apply -f limitrange.yaml
     

7. 使用 Network Policies：

   • Network Policies 允许你限制 Pod 之间的网络流量，可以为特定 Namespace 设置 Network Policies 来进一步隔离网络。

8. 删除 Namespace：

   • 当你不再需要某个 Namespace 时，可以删除它。这将删除该 Namespace 下的所有资源：

     kubectl delete namespace my-namespace
     

9. 配置 Role-Based Access Control (RBAC)：

   • 你可以为不同的 Namespace 设置不同的访问权限，通过 RBAC 为用户或服务账号分配角色和角色绑定，限制它们对特定 Namespace 的访问。

通过使用 Namespaces，你可以在 Kubernetes 集群中实现资源的逻辑隔离，这对于大型集群或多团队环境尤其有用。记得在设计 Namespace 策略时，要考虑到资源管理、安全性和团队协作的需求。