k8s部署-31-k8s中如何进行资源隔离资源

最新推荐文章于 2024-02-09 12:21:04 发布
最新推荐文章于 2024-02-09 12:21:04 发布
阅读量2.3k 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouyangzhenxin/article/details/124075341
版权

图片

在k8s中的我们的资源如何隔离呢?如果说有一个服务异常了,内存无限制的占用,其他的服务岂不是无法部署上去了?

而且我们一般一个集群是给很多人,很多对象使用的,那么如何保证他们互不打扰?且无法看到其他人的相关内容呢?

图片

Namespace

一个重要的概念,Namespace,我们之前说过,但是没有细说他的功能是什么,他可以实现资源隔离和配额的隔离,比如下面的信息:

图片

从上图可以清晰的看到他能做什么,接下来实际操作下吧。

新建namespace

首先我们先查询下本地有多少个namespace;

[root@node1 ~]# kubectl get namespace
NAME              STATUS   AGE
default           Active   18d
kube-node-lease   Active   18d
kube-public       Active   18d
kube-system       Active   18d
[root@node1 ~]#

再看下命名空间中都有什么呢?这里我们只查看pod哈。

[root@node1 ~]# kubectl get pods
NAME                                 READY   STATUS    RESTARTS   AGE
deploy-springboot-5dbfc55f78-mpg69   1/1     Running   1          21h
nginx-ds-q2pjt                       1/1     Running   17         11d
nginx-ds-zc5qt                       1/1     Running   22         17d
[root@node1 ~]# kubectl get pods -n kube-node-lease
No resources found in kube-node-lease namespace.
[root@node1 ~]# kubectl get pods -n kube-public
No resources found in kube-public namespace.
[root@node1 ~]# kubectl get pods -n kube-system
NAME                                       READY   STATUS             RESTARTS   AGE
calico-kube-controllers-858c9597c8-6gzd5   1/1     Running            29         17d
calico-node-6k479                          1/1     Running            21         17d
calico-node-bnbxx                          1/1     Running            21         17d
coredns-84646c885d-6fsjk                   1/1     Running            21         17d
coredns-84646c885d-sdb6l                   1/1     Running            21         17d
kube-flannel-ds-d7kvz                      0/1     CrashLoopBackOff   614        11d
kube-flannel-ds-klfvj                      0/1     CrashLoopBackOff   612        11d
nginx-proxy-node3                          1/1     Running            22         18d
nodelocaldns-gj9xf                         1/1     Running            21         17d
nodelocaldns-sw9jh                         1/1     Running            21         17d
[root@node1 ~]#

从上面可以看到,如果不指定命名空间的话,默认访问的是名字为default的命名空间,如果我们想看到其他命名空间下的资源,我们需要手动使用“-n”参数来指定。而且,如果你创建的时候没有指定namespace,那么默认也是都在default这个命名空间下的。

那么接下来我们来创建一个命名空间吧。

[root@node1 ~]# mkdir namespace
[root@node1 ~]# cd namespace/
[root@node1 namespace]# vim create_namespace.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: dev
[root@node1 namespace]# kubectl create -f create_namespace.yaml 
namespace/dev created
[root@node1 namespace]#

那么我们就创建了一个名字叫dev的命名空间,我们查看下:

[root@node1 namespace]# kubectl get namespace
NAME              STATUS   AGE
default           Active   18d
dev               Active   69s
kube-node-lease   Active   18d
kube-public       Active   18d
kube-system       Active   18d
[root@node1 namespace]#

新建一个pod

[root@node1 namespace]# vim web-demo.yaml 
#deploy
apiVersion: apps/v1
kind: Deployment
metadata:
  name: web-demo
  namespace: dev
spec:
  selector:
    matchLabels:
      app: web-demo
  replicas: 1
  template:
    metadata:
      labels:
        app: web-demo
    spec:
      containers:
      - name: web-demo
        image: registry.cn-beijing.aliyuncs.com/yunweijia0909/tomcat:jre8-openjdk
        ports:
        - containerPort: 8080
---
#service
apiVersion: v1
kind: Service
metadata:
  name: web-demo
  namespace: dev
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 8080
  selector:
    app: web-demo
  #type: ClusterIP

---
#ingress
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-demo
  namespace: dev
spec:
  rules:
  - host: web.yunweijia.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web-demo-dev
            port:
              number: 80
[root@node1 namespace]# kubectl apply -f web-demo.yaml 
deployment.apps/web-demo created
service/web-demo created
ingress.networking.k8s.io/web-demo created
[root@node1 namespace]#

然后查看下dev这个命名空间下是否有了;

[root@node1 namespace]# kubectl get pods -n dev
NAME                        READY   STATUS    RESTARTS   AGE
web-demo-58bf7ccc9c-d7gxl   1/1     Running   0          42s
[root@node1 namespace]# kubectl get all -n dev
NAME                            READY   STATUS    RESTARTS   AGE
pod/web-demo-58bf7ccc9c-d7gxl   1/1     Running   0          46s

NAME               TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)   AGE
service/web-demo   ClusterIP   10.233.101.225   <none>        80/TCP    46s

NAME                       READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/web-demo   1/1     1            1           46s

NAME                                  DESIRED   CURRENT   READY   AGE
replicaset.apps/web-demo-58bf7ccc9c   1         1         1       46s
[root@node1 namespace]#

测试下命名空间的隔离性

首先我们需要在default这个命名空间下新建个两个pod,然后去做测试,因为我现在就有nginx这个pod,所以再启动一个tomcat的pod吧。

如果看过我之前的文章,你应该在default命名空间中有较多的pod,就不用新建了,我这里是演示完就删了,所以没了。

剩余内容请转至VX公众号 “运维家” ,回复 “138” 查看。

运维家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s之多方面多维度的资源隔离和限制(namespace,LimitRange,ResourceQuota)
guijianchouxyz的博客
12-23 1934
首先我们能想到的资源隔离就是namespace,这不知道是不是大家的第一反应,反正我是的,,哈哈哈。当然还有好多可以配置资源的限制以及配额的方法
【深入剖析K8s】容器技术基础(二):隔离与限制
qq_21438267的博客
10-30 346
在上一篇文章,我详细介绍了 Linux 容器用来实现“隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
容器集群k8s从入门到精通之实战入门(第四章)
梦溪笔谈的博客
07-29 510
第四章 实战入门 本章节将介绍如何在kubernetes集群部署一个nginx服务,并且能够对其进行访问。 Namespace ​ Namespace是kubernetes系统的一种非常重要资源,它的主要作用是用来实现多套环境的资源隔离或者多租户的资源隔离。 ​ 默认情况下,kubernetes集群的所有的Pod都是可以相互访问的。但是在实际,可能不想让两个Pod之间进行互相的访问,那此时就可以将两个Pod划分到不同的namespace下。kubernetes通过将集群内部的资源分配到不
12、k8s Namespaces 资源隔离
无痕的博客
07-13 827
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群应该是可见和可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
【k8s】利用namespace分隔系统资源(十八)
L李钟意的博客
04-15 645
Kubernetes 的名字空间并不是一个实体对象,只是一个逻辑上的概念。它可以把集群切分成一个个彼此独立的区域,然后我们把对象放到这些区域里,就实现了类似容器技术里namespace的隔离效果,应用只能在自己的名字空间里分配资源和运行,不会干扰到其他名字空间里的应用。Kubernetes 的 Master/Node 架构已经能很好地管理集群,为什么还要引入名字空间这个东西呢?它的实际意义是什么呢?我觉得,这恰恰是Kubernetes面对大规模集群、海量节点时的一种现实考虑。
custom-k8s-sdn-demo:自定义Kubernetes SDN演示
02-05
在本项目"custom-k8s-sdn-demo",我们将探讨如何自定义Kubernetes(简称K8s)的软件定义网络(SDN)环境。Kubernetes作为容器编排的领先平台,其网络模型是通过CNI(Container Network Interface)插件实现的,...
k8s-1.12.3.tar
01-08
总的来说,"k8s-1.12.3.tar" 包含了Kubernetes 1.12.3的所有源代码和构建工具,对于想要深入了解Kubernetes、进行定制化开发或者部署集群的用户来说,这是一个非常有价值的资源。通过这个压缩包,开发者可以学习如何...
k8s.1-18-8.tar.gz
11-13
【描述】提到的“k8s集群二进制包”意味着这个压缩文件包含了Kubernetes集群的所有必要二进制文件,如kube-apiserver、kube-controller-manager、kube-scheduler、kubelet和kube-proxy等,这些是Kubernetes集群的...
k8s-testsuite:Kubernetes的测试套件
02-06
在Kubernetes生态系统,"k8s-testsuite"是一个至关重要的工具,它专门设计用于验证和测试Kubernetes集群的功能和性能。这个测试套件包含了多种测试用例,旨在确保Kubernetes组件按照预期工作,并能在各种复杂的...
CKA认证-k8s基本操作.rar
07-23
Namespaces.docx):Namespaces是Kubernetes的逻辑分区,用于隔离资源,允许多个用户或项目共享同一集群。每个Namespace可以有自己的资源配额,帮助组织管理资源的使用。 4. **Node资源**(2. node资源介绍.docx...
十九. Kubernetes NetworkPolicy 网络隔离策略
qq_29799655的博客
05-25 603
【代码】十九. Kubernetes NetworkPolicy 网络隔离策略。
K8S(五)—命名空间与资源配额
qq_51010919的博客
12-13 1506
Kubernetes(K8s)的命名空间(Namespace)是用于在集群资源进行逻辑隔离和分类的一种机制。它可以将集群内的资源划分为不同的组,并且每个命名空间内的资源都有一个唯一的名称。命名空间可以帮助团队将不同的项目、环境或应用程序从彼此隔离开来,以及更好地管理资源。命名空间允许将集群内的资源进行逻辑隔离资源分组。每个命名空间内部的资源(例如Pod、Service、ReplicaSet等)都具有唯一的名称,但在不同的命名空间可以有相同名称的资源
k8s是如何实现资源隔离
ajax_beijing_java的博客
03-25 529
namespace 是 2002 年从 Linux 2.4.19 开始出现的,和编程语言里的 namespace 有点类似,它可以创建出独立的文件系统、主机名、进程号、网络等资源空间,相当于给进程盖了一间小板房,这样就实现了系统全局资源和进程局部资源隔离。chroot 的历史则要比前面的 namespace、cgroup 要古老得多,早在 1979 年的 UNIX V7 就已经出现了,它可以更改进程的根目录,也就是限制访问文件系统,相当于给进程的小板房铺上了地砖。为什么它会具有高效轻便的隔离特性呢?
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
小胡子
01-28 1198
k8s 基于 cgroup 限制资源使用量(capacity enforcement):模型设计与代码实现
k8s资源需求及资源限制
qq_38814358的博客
11-06 1988
在k8s上,可由容器或pod请求或消费的计算资源时指cpu和内存,这也是目前仅有的受支持的两种类型。相比较来说,cpu属于可压缩资源,即资源额度可按需收缩,而内存则是不可压缩型资源,对其执行收缩操作可能会导致某种程度的问题。 目前来说,资源隔离尚且属于容器级别,cpu和内存资源的配置需要在pod的容器上运行,每种资源均可由request属性定义其请求的确保可用值,即容器运行可能用不到这些额度的资源,但用到的时候必须要确保有如此多的资源可用,而limits属性则用于吸纳子资源可用的最大值,即硬限制。通常把资
云原生内容分享(十五):云原生k8s集群安全隔离建设方案详解
最新发布
之乎者也·的博客
02-09 1176
网络策略(Network Policies):在Kubernetes等容器编排系统,可以定义网络策略来控制不同Pod间的网络通信。通过标签选择器来决定哪些Pod可以互相通信。命名空间(Namespaces):Kubernetes的命名空间提供了逻辑上的隔离,不同的服务可以在各自的命名空间运行,从而实现一定程度的网络和资源隔离。服务网格(Service Mesh):例如Istio等服务网格组件提供细粒度的流量管理和安全策略实施。
K8S系列:容器实现app应用资源隔离原理
NIO4444
09-28 705
一个进程的资源(CPU、内存、网络带宽等)使用量不能超出被分配的量。多个进程运行在同一个操作系统上,那容器到底是怎样隔离它们的。被用来限制一个进程或者一组进程的资源使用。每种命名空间被用来隔离一组特定的资源。它使每个进程只看到它自己的系统视图(进程将只能看到同一个命名空间下的资源。文件、进程、网络接口、主机名。它限制了进程能使用的资源量(CPU、内存、网络带宽。
k8s的资源隔离
生有热烈
07-19 3064
namespace做资源隔离 namespace的标签选择器不会跟其他的namespace关联 所有的k8s附加组件都会在kube-system的namespace资源,用于跟其他组件区分开. 原理 通过将系统内部的对象“分配”到不同的Namespace,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。 Kubernetes集群在启动后,会创建一个名为“default”的Namespace,通过Kubectl可以查看到。 创建Pod/RC/Ser
橘子学K8S01之容器所谓的隔离
liuwenqiang1314的博客
12-10 410
所以我们可以看到,所谓的docker容器,实际就是在创建容器进程的时候,指定了一组关于这个进程需要启动的Namespace,隔离了进程的PID,文件,设备,配置等等。而对于宿主机以及其他和这个进程不相关的进程,他是完全看不到的。所以,容器,其实就是一种特殊的进程。只是他做了隔离。所以在这个概念之上,我们就知道,所谓容器,在使用的时候其实并没有一个真实的容器存在,docker启动的其实还是原来的应用,只是在创建这些进程的时候docker加上了很多Namespace参数来限制进程的视角。
K8s-cks必备技能攻略
02-07
在K8s,应用生命周期管理涉及部署、更新、扩展和监控。例如,Horizontal Pod Autoscaler (HPA) 根据资源利用率自动调整 Pod 数量,实现弹性伸缩。而用户认证和授权体系(RBAC)则确保了对集群资源的精细访问控制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值