Kubernetes基于namespace实现环境隔离

最新推荐文章于 2025-03-16 18:24:32 发布
最新推荐文章于 2025-03-16 18:24:32 发布
阅读量4k 收藏 4
点赞数
分类专栏: Kubernetes 文章标签: Kubernetes K8S namespace 资源隔离 多环境
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44516305/article/details/105653490
版权

Kubernetes基于namespace实现环境隔离

1 实现步骤

1.1 说明

  • namespace:关于 namespace 的说明以及使用细节请见 namespace的官网文档

  • context:用户使用 kubectl 命令行工具操作 k8s 集群中的资源时,会涉及到上下文(即 context),为了实现不现环境的资源隔离,需要创建不同环境所对应的上下文,这样切换不同的上下文时,即可切换不同的环境。

  • 实现说明:本文要在k8s集群中创建两个名称分别为 dev 和 test 的 namespace,以及创建两个名称分别为 dev 和 test 的 context,且名称为 dev 的 context 使用名称为 dev 的 namespace,名称为 test 的 context 使用名称为 test 的 namespace,这样切换到名称为 dev 的 context 时,默认使用的是名称为 dev 的 namespace,切换到名称为 test 的 context时,默认使用的是名称为 test 的 namespace,从而实现 dev 环境和 test 环境之间的资源隔离。为了验证创建的两个 context 之间是否真正的实现资源隔离,本文还会在名称为 dev 的 context 中创建一个 Deployment,然后在名称分别为 dev 和 test 的 context 中查看是否存在创建的那个 Deployment。

  • 操作说明:请在 k8s 集群的 master 节点中依次执行 1.2 小节至 1.9 小节中的命令。

1.2 查看namespace

  • 执行命令:在创建 namespace 之前,先执行以下命令以查看 k8s 集群中当前已有哪些 namespace。

    # 查看当前所有的 namespace
kubectl get namespace

  • 执行结果:从执行结果来看,k8s 集群中当前没有名称为 dev 和 test 的这两个 namespace。
    在这里插入图片描述

1.3 创建namespace

  • 执行命令:分别执行以下命令,以创建两个名称分别为 dev 和 test 的 namespace,创建完成之后,再查看创建结果。

    # 创建一个名称为 dev 的 namespace
kubectl create namespace dev

# 创建一个名称为 test 的 namespace
kubectl create namespace test

# # 查看当前所有的 namespace
kubectl get namespace

  • 执行结果:从执行结果来看,k8s 集群中当前已经有了两个名称分别为 dev 和 test 的 namespace。
    在这里插入图片描述

1.4 查看context

  • 执行命令:在创建 context 之前,先执行以下命令以查看 k8s 集群中当前已有哪些 context,并查看当前处理哪个 context。

    # 查看当前所有的 context
kubectl config get-contexts

# 查看当前的 context
kubectl config current-context

  • 执行结果:从执行结果来看,k8s 集群中当前只有一个名称为 kubernetes-admin@Kubernetes 的 context,并且正处于该 context。
    在这里插入图片描述

1.5 查看config

  • 执行命令:在创建 context之前,先执行以下命令以查看 k8s 集群中当前的 config 配置,以获取创建 context 时所需要的 cluster 信息和 user 信息。
    # 查看当前配置
kubectl config view
  • 执行结果:从执行结果来看,k8s 集群中当前配置的 cluster 为 kubernetes,当前配置的 user 为 kubernetes-admin
    在这里插入图片描述

1.6 创建context

  • 执行命令:分别执行以下命令,以创建两个名称分别为 dev 和 test 的 context,创建完成之后,再查看创建结果。注意:请把下面命令中的 cluster_name 和 user_name 换成使用 1.5 节中命令获取到的值。

    # 创建一个名称为 dev 的 context,该 context 使用名称为 dev 的 namespace
kubectl config set-context dev --namespace=dev --cluster=cluster_name --user=user_name

# 创建一个名称为 test 的 context,该 context 使用名称为 test 的 namespace
kubectl config set-context test --namespace=test --cluster=cluster_name --user=user_name

# 查看当前所有的 context
kubectl config get-contexts

  • 执行结果:从执行结果来看,k8s 集群中当前已经有了两个名称分别为 dev 和 test 的 context。
    在这里插入图片描述

1.7 切换context

  • 执行命令:在创建 deployment 之前,先执行以下命令以切换到名称为 dev 的 context(即默认使用名称为 dev 的 namespace)。

    # 查看当前的 context
kubectl config current-context

# 切换到名称为 dev 的 context
kubectl config use-context dev

# 查看当前的 context
kubectl config current-context

  • 执行结果:从执行结果来看,切换 context 之前是处于名称为 kubernetes-admin@kubernetes 的 context,并成功切换到了名称为 dev 的 context。
    在这里插入图片描述

1.8 创建deployment

  • 配置文件:在 k8s 主机的 master 节点的当前路径下创建一个名称为 nginx-deployment.yaml 的配置文件,该文件中定义了使用 nginx:1.7.9 镜像创建名称为 nginx-deployment 的 Deployment,内容如下所示:

    apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.7.9

  • 执行命令:分别执行以下命令,以查看在创建 Deployment 之前 k8s 集群中所有的 pod,然后再创建 Deployment,并查看创建结果。

    # 查看当前 context 下的所有的 pod
kubectl get pods

# 在当前的 context 下创建一个 nginx 的 deployment
kubectl apply -f nginx-deployment.yaml

# 查看当前 context 下的所有的 pod
kubectl get pods

  • 执行结果:从执行结果来看,在创建 Deployment 之前,k8s 集群中没有任何 pod,而创建成功之后,成功创建了两个 pod。
    在这里插入图片描述

1.9 检验

  • 执行命令:分别执行以下命令,以查看当前所处于哪个 context,并查看当前 context 下有哪些 pod,然后再切换到名称为 test 的 context,并查看名称为 test 的 context 下有哪些 pod。

    # 查看当前所处的 context
kubectl config current-context

# 查看当前的 context 下的所有的 pod
kubectl get pods

# 切换到名称为 test 的 context
kubectl config use-context test

# 查看当前的 context 下的所有的 pod
kubectl get pods

  • 执行结果:从执行结果来看,当前正处理名称为 dev 的 context,而且该 context 下有两个 pod,而名称为 test 的 context 中则没有 pod。
    在这里插入图片描述

  • 结果说明:根据以上执行结果可以说明,在名称为 dev 的 context 中创建的 k8s 资源对名称为 test 的 context 是不可见的,从而实现了资源隔离。

云原生kubernetes六:namespace和Resourcequota
qq_46654855的博客
09-28 581
k get ns2查看namespace应用场景命名空间适用于存在很多跨多个团队或项目的用户的场景。对于只有几到几十个用户的集群,根本不需要创建或考虑命名空间。1、查看名称空间及其资源对象(k8s集群默认提供了几个名称空间用于特定目的,例如,kube-system主要用于运行系统级资源,存放k8s一些组件的。而default则为那些未指定名称空间的资源操作提供一个默认值。-
Kubernetes实战(二十八)-环境共享与隔离Namespace
专注基础架构领域
08-31 1879
Kubernetes使用命名空间的概念帮助解决集群中在管理对象时的复杂性问题。命名空间允许将对象分组到一起,便于将它们作为一个单元进行筛选和控制。无论是应用自定义的访问控制策略,还是为了测试环境而分离所有组件,命名空间都是一个按照组来处理对象。 Namespace即命名空间,主要有两个方面的作用: 资源隔离:可为不同的团队/用户(或项目)提供虚拟的集群空间,共享同一个Kubernetes集群的资源。比如可以为团队A创建一个Namespace ns-a,团队A的项目都部署运行在 ns-a 中,团队B创建另
k8s 通过set-context 控制namespace 进行隔离
邢宁
12-03 2258
前言 k8s可以基于命名空间实现完全隔离环境,可以根据业务的不同划分不同的namespace来使用,在这里简单分享一下 1、创建namespace kubectl create -f https://k8s.io/examples/admin/namespace-dev.json kubectl create -f https://k8s.io/examples/admin/namespace-prod.json #查看创建的命名空间 kubectl get namespaces --show-la
八. Kubernetes 名称空间与隔离
qq_29799655的博客
05-22 567
【代码】八. Kubernetes 名称空间与隔离
多租户环境K8s 存储的隔离资源分配方案
最新发布
wdfdgygg77的博客
03-16 1011
在现代云计算和容器化应用蓬勃发展的背景下,KubernetesK8s)凭借其强大的容器编排与管理能力,成为构建多租户环境的热门选择。在多租户场景中,确保存储的隔离性与合理的资源分配,对于保障各租户数据安全、提升资源利用效率以及维护系统整体稳定性至关重要。
[kubernetes]8-1 Namespace --- 集群的共享与隔离
爷来辣的博客
01-05 744
8-1 Namespace --- 集群的共享与隔离 隔离 1资源对象的隔离 server deployment pod 2资源配额的隔离 cpu memory 查看命名空间 kubectl get namespaces 查看指定命名空间的pod kubectl get pods -n default kubectl get pods -n ingress-ngin...
12、k8s Namespaces 资源隔离
无痕的博客
07-13 906
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群中应该是可见和可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
Kubernetes 如何使用 namespace 隔离团队及应用环境
爱死亡机器人
12-25 169
当然,如果不同的团队开发的是同一个业务,相当于只是给业务做了微服务的拆分,那么在 testing 和 prod 环境就不需要再划分独立命名空间,只需要有一个命名空间将所有微服务汇总部署起来即可。不同的命名空间具备一定的隔离性,业务应用的工作负载以及其他的 K8s 对象可以部署在特定的命名空间中,在不同命名空间中,相同类型的资源可以重名。不过,当你有下面的需求时,我建议你考虑使用命名空间。系统级的命名空间是 K8s 集群默认创建的命名空间,主要用来隔离系统级的对象和业务对象,系统级的命名空间下面四种。
kubernetes-Namespace入门实战
weixin_72898433的博客
11-28 416
kubernetes-Namespace入门实战
kubernetes-Namespace入门实战】
weixin_72901306的博客
11-29 240
kubernetes-Namespace入门实战
基于Calico和Kubernetes实现多租户网络隔离方案
根据给定的信息,我们可以推导出一些详细的IT知识点,下面详细说明: ### 标题知识点:visual-demo.zip ...通过掌握这些知识点,用户可以对如何在Kubernetes环境中有效地隔离和控制多租户网络有所了解。
frakti:Kubernetes的基于管理程序的容器运行时
02-03
Kubernetes基于管理程序的容器运行时 Frakti允许Kubernetes通过在虚拟机管理程序中直接运行pod和容器。 它重量轻且可移植,但是与基于linux-namespace的容器运行时相比,使用独立内核可以提供更强的隔离性。 Frakti...
Kubernetes网络隔离
Holmes的博客
06-25 752
Kubernetes网络隔离 Network Policies 隔离手段:NetworkPolicy 要在Kubernetes集群中使用NetworkPolicy,CNI网络插件必须维护一个NetworkPolicy Controller,支持Kubernetes 的NetworkPolicy。实现了NetworkPolicy的网络插件包括Weave和Calico等,但不包括Flannel。通过控制循环的方式对NetworkPolicy对象的增删改查作出响应,然后在宿主机上完成iptables规则的配置工作
kubernetes网络隔离(Networkpolicy)
kjkdd的博客
05-15 814
可以看到,这幅示意图中,IP 包“一进一出”的两条路径上,有几个关键的“检查点”,它们正是 Netfilter 设置“防火墙”的地方。其中,这个允许流入的“白名单”里,我指定了三种并列的情况,分别是:ipBlock、namespaceSelector 和 podSelector。例如,在我们上面这个例子里,我在 policyTypes 字段,定义了这个 NetworkPolicy 的类型是 ingress 和 egress,即:它既会影响流入(ingress)请求,也会影响流出(egress)请求。
十九. Kubernetes NetworkPolicy 网络隔离策略
qq_29799655的博客
05-25 772
【代码】十九. Kubernetes NetworkPolicy 网络隔离策略。
k8s资源隔离
生有热烈
07-19 3184
namespace资源隔离 namespace中的标签选择器不会跟其他的namespace关联 所有的k8s附加组件都会在kube-system的namespace资源中,用于跟其他组件区分开. 原理 通过将系统内部的对象“分配”到不同的Namespace中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。 Kubernetes集群在启动后,会创建一个名为“default”的Namespace,通过Kubectl可以查看到。 创建Pod/RC/Ser
云原生内容分享(十五):云原生k8s集群安全隔离建设方案详解
之乎者也·的博客
02-09 1840
网络策略(Network Policies):在Kubernetes等容器编排系统中,可以定义网络策略来控制不同Pod间的网络通信。通过标签选择器来决定哪些Pod可以互相通信。命名空间(Namespaces):Kubernetes中的命名空间提供了逻辑上的隔离,不同的服务可以在各自的命名空间中运行,从而实现一定程度的网络和资源隔离。服务网格(Service Mesh):例如Istio等服务网格组件提供细粒度的流量管理和安全策略实施。
kubenetes部署mysql数据库---环境隔离问题
qq_39586619的博客
07-17 752
persistentvolumeclaim "mysql-pv-claim" not found错误 前言: 今天准备在Kubenete上部署mysql数据库供微服务架构项目调用,在部署好service、pv、pvc,deployment之后,通过指令查看pod的运行状态 【这里的-n 参数是指定环境】 kubectl get pods -n kerry 发现Pod并没有像期望中的Run...
k8s学习笔记-容器概念入门(二)-隔离与限制】
Amelie123的博客
07-30 827
k8s学习笔记-容器概念入门(二)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值