kubernetes 核心技术-Namespace

在多租户和大规模部署的环境中，资源隔离和管理变得尤为重要。Kubernetes 通过引入命名空间（Namespace）来帮助用户实现这一目标。命名空间为集群内的资源提供了一种逻辑上的划分方式，使得不同的项目、团队或客户可以在同一物理集群上独立运行而互不干扰。本文将深入探讨 Kubernetes 中 Namespace 的概念、创建与使用方法及其最佳实践，帮助您更好地理解和利用这一关键技术。

什么是 Namespace？

定义与背景

命名空间是 Kubernetes 中用于组织和隔离集群内资源的一种机制。它允许我们将一个物理集群划分为多个虚拟集群，每个虚拟集群都拥有自己独立的资源集合（如 Pod、Service 等），并且这些资源之间默认情况下不会相互影响。这不仅有助于提高资源利用率，还能简化权限管理和配置文件的维护工作。

关键特性

• 逻辑隔离：不同命名空间中的资源名称可以相同，但它们实际上是完全隔离的实体。
• 资源配额：可以通过设置配额来限制特定命名空间中可使用的资源总量，从而避免某个命名空间占用过多资源。
• 访问控制：结合 RBAC（基于角色的访问控制）策略，可以为不同用户授予对特定命名空间的操作权限。
• 简化管理：在一个大型集群中，使用命名空间可以帮助我们更容易地管理和追踪各种服务和应用。

创建和管理 Namespace

接下来我们将详细介绍如何创建、查看和删除命名空间，并给出几个实际的例子。

创建 Namespace

最简单的方式是使用 kubectl create namespace 命令来创建一个新的命名空间：

kubectl create namespace my-namespace

如果您希望通过 YAML 文件定义更复杂的配置，也可以编写相应的声明文件并应用之：

apiVersion: v1
kind: Namespace
metadata:
  name: my-namespace
  labels:
    name: my-namespace

然后执行以下命令以创建命名空间：

kubectl apply -f namespace.yaml

查看 Namespace

要查看当前集群中存在的所有命名空间，可以运行如下命令：

kubectl get namespaces

此命令会列出所有命名空间的名称及其状态等信息。

删除 Namespace

当不再需要某个命名空间时，可以通过以下命令将其删除：

kubectl delete namespace my-namespace

请注意，删除命名空间将同时移除该命名空间下的所有资源，请谨慎操作。

在 Namespace 中部署资源

一旦创建了命名空间，就可以开始在这个新的上下文中部署资源了。下面是一些常见的做法：

配置 kubectl 使用指定 Namespace

为了让后续命令默认作用于特定命名空间，可以设置 kubectl 的上下文：

kubectl config set-context --current --namespace=my-namespace

或者每次调用 kubectl 时都显式指定命名空间：

kubectl get pods --namespace=my-namespace

部署资源到指定 Namespace

无论是在命令行还是通过 YAML 文件部署资源，都可以明确指出目标命名空间。例如，创建一个名为 nginx-deployment 的 Deployment 并将其放置在 my-namespace 中：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  namespace: my-namespace
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:latest
        ports:
        - containerPort: 80

然后应用此配置：

kubectl apply -f deployment.yaml

设置资源配额

为了防止某个命名空间占用过多资源，可以为其设置配额。首先，创建一个 ResourceQuota 对象：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: mem-cpu-demo
  namespace: my-namespace
spec:
  hard:
    requests.cpu: "1"
    requests.memory: 1Gi
    limits.cpu: "2"
    limits.memory: 2Gi

接着应用该配额：

kubectl apply -f resourcequota.yaml

应用网络策略

除了资源配额外，还可以通过 NetworkPolicy 来控制命名空间间的网络通信。比如，创建一个仅允许同名命名空间内 Pod 相互通信的策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: my-namespace
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {}

最后应用此策略：

kubectl apply -f networkpolicy.yaml

注意事项

尽管命名空间提供了很多便利的功能，但在实际应用中也需要注意一些潜在的问题：

• 跨命名空间访问：默认情况下，服务只能被同一命名空间内的客户端访问。如果需要跨命名空间通信，可以通过 FQDN 或者设置适当的网络策略来实现。
• 权限管理：严格限制哪些用户能够创建、修改或删除特定命名空间及其内部资源，避免不必要的风险。
• 监控和审计：记录命名空间的创建、修改和删除操作，以便后续审查和追踪。
• 性能考虑：大量频繁创建和删除命名空间可能会影响集群性能，应尽量减少不必要的变更。

实战演练

接下来我们将通过几个实际的例子来展示如何使用命名空间管理 Kubernetes 中的资源。

创建并使用包含多个服务的 Namespace

假设我们要部署一个电商网站，包括前端、后端和数据库三个部分。首先，创建一个名为 ecommerce 的命名空间：

kubectl create namespace ecommerce

然后分别为这三个组件创建对应的 Deployment 和 Service：

前端服务

apiVersion: apps/v1
kind: Deployment
metadata:
  name: frontend
  namespace: ecommerce
spec:
  replicas: 3
  selector:
    matchLabels:
      app: frontend
  template:
    metadata:
      labels:
        app: frontend
    spec:
      containers:
      - name: frontend
        image: myrepo/frontend:latest
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: frontend
  namespace: ecommerce
spec:
  selector:
    app: frontend
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  type: LoadBalancer

后端服务

apiVersion: apps/v1
kind: Deployment
metadata:
  name: backend
  namespace: ecommerce
spec:
  replicas: 2
  selector:
    matchLabels:
      app: backend
  template:
    metadata:
      labels:
        app: backend
    spec:
      containers:
      - name: backend
        image: myrepo/backend:latest
        ports:
        - containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
  name: backend
  namespace: ecommerce
spec:
  selector:
    app: backend
  ports:
  - protocol: TCP
    port: 8080
    targetPort: 8080
  type: ClusterIP

数据库服务

apiVersion: apps/v1
kind: Deployment
metadata:
  name: database
  namespace: ecommerce
spec:
  replicas: 1
  selector:
    matchLabels:
      app: database
  template:
    metadata:
      labels:
        app: database
    spec:
      containers:
      - name: database
        image: mysql:5.7
        env:
        - name: MYSQL_ROOT_PASSWORD
          value: "mypassword"
        ports:
        - containerPort: 3306
---
apiVersion: v1
kind: Service
metadata:
  name: database
  namespace: ecommerce
spec:
  selector:
    app: database
  ports:
  - protocol: TCP
    port: 3306
    targetPort: 3306
  type: ClusterIP

现在，所有这些服务都位于 ecommerce 命名空间中，并且可以根据需要进行独立管理和扩展。

使用 Namespace 进行资源配额管理

为了确保电商网站不会占用过多资源，我们可以为其设置合理的配额。首先，创建一个名为 ecommerce-quota 的 ResourceQuota 对象：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: ecommerce-quota
  namespace: ecommerce
spec:
  hard:
    requests.cpu: "4"
    requests.memory: 8Gi
    limits.cpu: "8"
    limits.memory: 16Gi

然后应用此配额：

kubectl apply -f ecommerce-quota.yaml

这样一来，ecommerce 命名空间内的所有资源请求总和不得超过上述限额，从而有效保障了其他命名空间的资源可用性。

结语

感谢您的阅读！如果您对 Namespace 或 Kubernetes 有任何疑问或见解，欢迎继续探讨。