Kubernetes 名称空间Namespace

已于 2024-06-13 18:34:21 修改
阅读量608 收藏 15
点赞数 13
分类专栏: docker+k8s 文章标签: kubernetes 容器
于 2024-05-30 16:15:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FLGBgo/article/details/139325238
版权

Namespace

Kubernetes 的名字空间并不是一个实体对象,只是一个逻辑上的概念。它可以把集群切分成一个个彼此独立的区域,然后我们把对象放到这些区域里,就实现了类似容器技术里 namespace 的隔离效果,应用只能在自己的名字空间里分配资源和运行,不会干扰到其他名字空间里的应用。

避免资源配额冲突、命名冲突、访问控制问题的出现,就需要把集群给适当地“局部化”,为每一类用户创建出只属于它自己的“工作空间”

Kubernetes使用名称空间

名字空间也是一种 API 对象,使用命令 kubectl api-resources 可以看到它的简称是“ns”,命令 kubectl create 不需要额外的参数

kubectl create ns test-ns 
kubectl get ns

在这里插入图片描述
把一个对象放入特定的名字空间,需要在它的 metadata 里添加一个 namespace 字段,比如我们要在“test-ns”里创建一个简单的 Nginx Pod

apiVersion: v1
kind: Pod
metadata:
  name: ngx
  namespace: test-ns

spec:
  containers:
  - image: nginx:alpine
    name: ngx

kubectl apply 创建这个对象之后,直接用 kubectl get 是看不到它的,因为默认查看的是“default”名字空间,想要操作其他名字空间的对象必须要用 -n 参数明确指定:

kubectl get pod -n test-ns

因为名字空间里的对象都从属于名字空间,所以在删除名字空间的时候一定要小心,一旦名字空间被删除,它里面的所有对象也都会消失

kubectl delete ns test-ns

在这里插入图片描述

资源配额

有了名称空间,就可以像管理容器一样,给名字空间设定配额,把整个集群的计算资源分割成不同的大小,按需分配使用。

不过集群和单机不一样,除了限制最基本的 CPU 和内存,还必须限制各种对象的数量,否则对象之间也会互相挤占资源。

名字空间的资源配额需要使用一个专门的 API 对象,叫做 ResourceQuota,简称是 quota

export out="--dry-run=client -o yaml"
kubectl create quota dev-qt $out

资源配额对象必须依附在某个名字空间上,所以在它的 metadata 字段里必须明确写出 namespace(否则就会应用到 default 名字空间)

创建一个名字空间“dev-ns”
ns-dev.yml

apiVersion: v1
kind: Namespace
metadata:  
  name: dev-ns

再创建一个资源配额对象“dev-qt”:
ns-quota.yml

apiVersion: v1
kind: ResourceQuota
metadata:
  name: dev-qt
  namespace: dev-ns

spec:
  hard:
    requests.cpu: 10
    requests.memory: 10Gi
    limits.cpu: 10
    limits.memory: 20Gi

    requests.storage: 100Gi
    persistentvolumeclaims: 100

    pods: 100
    configmaps: 100
    secrets: 100
    services: 10

    count/jobs.batch: 1
    count/cronjobs.batch: 1
    count/deployments.apps: 1

ResourceQuota 对象的使用方式比较灵活,既可以限制整个名字空间的配额,也可以只限制某些类型的对象(使用 scopeSelector)。
第一种,它需要在 spec 里使用 hard 字段,意思就是“硬性全局限制”。

ResourceQuota 里可以设置各类资源配额

  • CPU 和内存配额,使用 request.、limits.,这是和容器资源限制是一样的。
  • 存储容量配额,使 requests.storage 限制的是 PVC 的存储总量,也可以用 persistentvolumeclaims 限制 PVC 的个数。
  • 核心对象配额,使用对象的名字(英语复数形式),比如 pods、configmaps、secrets、services。
  • 其他 API 对象配额,使用 count/name.group 的形式,比如 count/jobs.batch、count/deployments.apps。

ns-quota.yml内容解析

  • 所有 Pod 的需求总量最多是 10 个 CPU 和 10GB 的内存,上限总量是 10 个 CPU 和 20GB 的内存。
  • 只能创建 100 个 PVC 对象,使用 100GB 的持久化存储空间。
  • 只能创建 100 个 Pod,100 个 ConfigMap,100 个 Secret,10 个 Service。
  • 只能创建 1 个 Job,1 个 CronJob,1 个 Deployment。

使用资源配额

kubectl apply -f ns-dev.yml 
kubectl apply -f ns-quota.yml
kubectl get quota -n dev-ns

在这里插入图片描述
输出了 ResourceQuota 的全部信息,但都挤在了一起,看起来很困难,这时可以再用命令 kubectl describe 来查看对象,它会给出一个清晰的表格:

kubectl describe quota -n dev-ns

在这里插入图片描述
尝试在这个名字空间里运行两个 busybox Job,同样要加上 -n 参数:

kubectl create job echo1 -n dev-ns --image=busybox -- echo hello
kubectl create job echo2 -n dev-ns --image=busybox -- echo hello

在这里插入图片描述
ResourceQuota 限制了名字空间里最多只能有一个 Job,所以创建第二个 Job 对象时会失败,提示超出了资源配额。

再用命令 kubectl describe 来查看,也会发现 Job 资源已经到达了上限:

kubectl describe quota -n dev-ns

在这里插入图片描述
删除运行的 Job,就又可以运行一个新的离线业务了

kubectl get job -n dev-ns
kubectl delete job -n dev-ns echo1 
kubectl create job echo2 -n dev-ns --image=busy-box -- echo hello
kubectl get job -n dev-ns

在这里插入图片描述

默认资源配额

在名称空间加上了资源配额限制之后,它会有一个合理但比较“烦人”的约束:要求所有在里面运行的 Pod 都必须用字段 resources 声明资源需求,否则就无法创建。

比如说,现在想用命令 kubectl run 创建一个 Pod:

kubectl run ngx --image=nginx:alpine -n dev-ns

在这里插入图片描述
如果 Pod 里没有 resources 字段,就可以无限制地使用 CPU 和内存,这显然与名字空间的资源配额相冲突。为了保证名字空间的资源总量可管可控,Kubernetes 就只能拒绝创建这样的 Pod 了。

让 Kubernetes 自动为 Pod 加上资源限制 – LimitRange,简称是 limits,它能为 API 对象添加默认的资源配额限制

  • spec.limits 是它的核心属性,描述了默认的资源限制。
  • type 是要限制的对象类型,可以是 Container、Pod、PersistentVolumeClaim。
  • default 是默认的资源上限,对应容器里的 resources.limits,只适用于 Container。
  • defaultRequest 默认申请的资源,对应容器里的 resources.requests,同样也只适用于 Container。
  • max、min 是对象能使用的资源的最大最小值。

dev-ns-limit-range.yml

apiVersion: v1
kind: LimitRange
metadata:
  name: dev-limits
  namespace: dev-ns

spec:
  limits:
  - type: Container
    defaultRequest:
      cpu: 200m
      memory: 50Mi
    default:
      cpu: 500m
      memory: 100Mi
  - type: Pod
    max:
      cpu: 800m
      memory: 200Mi

它设置了每个容器默认申请 0.2 的 CPU 和 50MB 内存,容器的资源上限是 0.5 的 CPU 和 100MB 内存,每个 Pod 的最大使用量是 0.8 的 CPU 和 200MB 内存。

vim dev-ns-limit-range.yml
kubectl apply -f dev-ns-limit-range.yml
kubectl describe limitranges -n dev-ns

在这里插入图片描述
不用编写 resources 字段直接创建 Pod :

kubectl run ngx --image=nginx:alpine -n dev-ns
kubectl get pod -n dev-ns

在这里插入图片描述
用 kubectl describe 查看 Pod 的状态,也可以看到 LimitRange 为它自动加上的资源配额:

kubectl describe pod -n dev-ns ngx

在这里插入图片描述

FLGB
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s之多方面多维度的资源隔离和限制(namespace,LimitRange,ResourceQuota)
guijianchouxyz的博客
12-23 1951
首先我们能想到的资源隔离就是namespace,这不知道是不是大家的第一反应,反正我是的,,哈哈哈。当然还有好多可以配置资源的限制以及配额的方法
【k8s】利用namespace分隔系统资源(十八)
L李钟意的博客
04-15 653
Kubernetes 的名字空间并不是一个实体对象,只是一个逻辑上的概念。它可以把集群切分成一个个彼此独立的区域,然后我们把对象放到这些区域里,就实现了类似容器技术里namespace的隔离效果,应用只能在自己的名字空间里分配资源和运行,不会干扰到其他名字空间里的应用。Kubernetes 的 Master/Node 架构已经能很好地管理集群,为什么还要引入名字空间这个东西呢?它的实际意义是什么呢?我觉得,这恰恰是Kubernetes面对大规模集群、海量节点时的一种现实考虑。
12、k8s Namespaces 资源隔离
无痕的博客
07-13 831
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群中应该是可见和可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
k8s部署-31-k8s中如何进行资源隔离资源
ouyangzhenxin的博客
04-10 2373
 在k8s中的我们的资源如何隔离呢?如果说有一个服务异常了,内存无限制的占用,其他的服务岂不是无法部署上去了?而且我们一般一个集群是给很多人,很多对象使用的,那么如何保证他们互不打扰?且无法看到其他人的相关内容呢?  Namespace一个重要的概念,Namespace,我们之前说过,但是没有细说他的功能是什么,他可以实现资源隔离和配额的隔离,比如下面的信息:从上图可以清晰的看到他能做什么,接下来实际操作下吧。新建namespace首先我们先查询下本地有多少个namespace
k8s中namespace资源讲解、删除命名空间namespace卡主,一直Terminating
MssGuo的博客
02-19 6372
前言 环境:centos7.9 docker-ce-20.10.9 kubernetes-version v1.22.6 什么是namespace namespacekubernetes系统中的一种非常重要的资源,namespace的主要作用是用来实现多套环境的资源隔离,或者说是多租户的资源隔离。 默认情况下,k8s集群中所有pod都是可以相互访问的,但在实际环境中,可能不想让两个pod之间相互访问,那此时就可以将两个pod划分到不同的namespace下。k8s通过将集群内部的资源分配到不同的names
bond:Kubernetes秘密通过名称空间进行复制
03-22
Kubernetes秘密通过名称空间进行复制执照根据以下任一许可Apache许可证2.0版( 或 ) MIT许可证( 或 )由您选择。贡献除非您明确声明,否则您有意提交以供您包含在工作中的任何贡献(如Apache-2.0许可中所定义)...
cross-namespace-nginx-ingress-kubernetes:跨命名空间Nginx Ingress Controller设置和有效的演示
05-11
为跨名称空间入口资源设置Nginx Ingress Controller 先决条件 作为设置的一部分,我使用minikube在Google Kubernetes Engine(GKE)上进行了本地测试 设置 Nginx入口控制器 我们将从安装Nginx Ingress控制器作为舵图...
kubernetes-namespace-reservation:禁止创建指定名称空间的准入网络挂钩
05-08
kubernetes命名空间保留 禁止创建指定名称空间的准入网络挂钩 在Kubernetes 1.9+上安装 确保至少有Kubernetes 1.9,kubectl在运行并且jq已安装 克隆此仓库 make build-image push-image REPO=<your>/namespace-...
kubernetes测试不同名称空间下pod访问情况资源清单文件
10-29
默认情况下,Pods在自己的命名空间内可以直接通过Service的名字进行通信,但跨命名空间的访问需要额外的配置。以下是一些关键知识点: 1. **跨命名空间访问**:要使Pod在不同命名空间间互相访问,需要使用全限定...
kubernetes 部署giltab
08-24
3. `name: redis` 和 `namespace: kube-system` 分别是部署的名称和命名空间。 4. `labels` 用于选择对应的Pod模板。 5. `containers` 部分定义了容器的具体配置,包括使用的镜像(`sameersbn/redis`),端口映射...
【k8s】3、Namespace
clislog的博客
12-05 248
学习内容:k8s详细教程-调整版/k8s详细教程.md · yooome/LearningNotes - Gitee.com Namespace的主要作用是用来实现多套环境的资源隔离或者多租户的资源隔离。 kubernetes在集群启动之后,会默认创建几个namespace: 1、查看 2、创建 3、删除 4、配置方式
k8s学习笔记(四):命名空间namespace)详解
qq_57629230的博客
06-25 9054
一篇文章教你搞懂k8s命名空间的相关知识!
k8s之Namespace详解
李半仙
08-31 7120
Namespace 隔离资源 默认情况下,kubernetes集群中的所有的Pod都是可以相互访问的。但是在实际中,可能不想让两个Pod之间进行互相的访问,那此时就可以将两个Pod划分到不同的namespace下。kubernetes通过将集群内部的资源分配到不同的Namespace中,可以形成逻辑上的"组",以方便不同的组的资源进行隔离使用和管理。 kubernetes在集群启动之后,会默认创建几个namespace [root@master ~]# kubectl get namespace NAME
K8S系列:容器实现app应用资源隔离原理
NIO4444
09-28 707
一个进程的资源(CPU、内存、网络带宽等)使用量不能超出被分配的量。多个进程运行在同一个操作系统上,那容器到底是怎样隔离它们的。被用来限制一个进程或者一组进程的资源使用。每种命名空间被用来隔离一组特定的资源。它使每个进程只看到它自己的系统视图(进程将只能看到同一个命名空间下的资源。文件、进程、网络接口、主机名。它限制了进程能使用的资源量(CPU、内存、网络带宽。
K8s(三):Namespace详解
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
01-02 3万+
🔴 K8s(三):Namespace详解
K8S(五)—命名空间与资源配额
qq_51010919的博客
12-13 1558
Kubernetes(K8s)的命名空间Namespace)是用于在集群中对资源进行逻辑隔离和分类的一种机制。它可以将集群内的资源划分为不同的组,并且每个命名空间内的资源都有一个唯一的名称。命名空间可以帮助团队将不同的项目、环境或应用程序从彼此中隔离开来,以及更好地管理资源。命名空间允许将集群内的资源进行逻辑隔离和资源分组。每个命名空间内部的资源(例如Pod、Service、ReplicaSet等)都具有唯一的名称,但在不同的命名空间中可以有相同名称的资源。
【深入剖析K8s】容器技术基础(二):隔离与限制
qq_21438267的博客
10-30 398
在上一篇文章中,我详细介绍了 Linux 容器中用来实现“隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
Kubernetes实战(二十八)-环境共享与隔离(Namespace
专注基础架构领域
08-31 1754
Kubernetes使用命名空间的概念帮助解决集群中在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选和控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace即命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a 中,团队B创建另
橘子学K8S01之容器中所谓的隔离
liuwenqiang1314的博客
12-10 421
所以我们可以看到,所谓的docker容器,实际就是在创建容器进程的时候,指定了一组关于这个进程需要启动的Namespace,隔离了进程的PID,文件,设备,配置等等。而对于宿主机以及其他和这个进程不相关的进程,他是完全看不到的。所以,容器,其实就是一种特殊的进程。只是他做了隔离。所以在这个概念之上,我们就知道,所谓容器,在使用的时候其实并没有一个真实的容器存在,docker启动的其实还是原来的应用,只是在创建这些进程的时候docker加上了很多Namespace参数来限制进程的视角。
kubernetes 查看命名空间
07-28
要查看 Kubernetes 中的命名空间,可以使用以下命令: ```bash kubectl get namespaces ``` 这将列出所有的命名空间。如果你只想查看特定的命名空间,可以在命令中指定命名空间名称: ```bash kubectl get namespaces <namespace-name> ``` 其中 `<namespace-name>` 是你想要查看的命名空间名称

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值