涨薪技术|Kubernetes(k8s)之Namespaces详解

今天我们学习k8s另外一个必须要掌握的知识：Namespaces

01Namespaces基本操作

Namespaces表示名字空间，用于分隔资源存储资源，创建多个虚拟集群。

当团队或项目中具有许多用户时，可以考虑使用Namespace来区分，a如果是少量用户集群，可以不需要考虑使用Namespace，如果需要它们提供特殊性质时，可以开始使用Namespace。Namespace为名称提供了一个范围。资源的Names在Namespace中具有唯一性。Namespace是一种将集群资源划分为多个用途(通过 resource quota)的方法。在未来的Kubernetes版本中，默认情况下，相同

Namespace中的对象将具有相同的访问控制策略。对于稍微不同的资源没必要使用多个Namespace来划分，例如同意软件的不同版本，可以使用labels(标签)来区分同一Namespace中的资源。

Kubernetes 从四个初始命名空间开始：

default

Kubernetes 包含此命名空间，以便您无需先创建命名空间即可开始使用新集群。

kube-node-lease

此命名空间包含与每个节点关联的租约对象。节点租约允许 kubelet 发送检测信号，以便控制平面可以检测到节点故障。

kube-public

此命名空间可由所有客户端（包括未经身份验证的客户端）读取。此命名空间主要保留用于群集，以防某些资源在整个群集中公开可见和可读。此命名空间的公共方面只是一个约定，而不是一个要求。

kube-system

由 Kubernetes 系统创建的对象的命名空间。

查看名字空间

查看名字空间命令kubectl get namespaces也可以使用缩写查看kubectl get ns

创建名字空间

创建名字空间有两种方法，一是使用命令；二是使用yaml文件

使用命令创建名字空间的语法如下：kubectl create namespace new-namespace如：kubectl create namespace test001

也可以构造一个yaml文件进行创建

yaml文件内容如下：

piVersion: v1kind: Namespacemetadata:name: test001再执行以下命令即可以创建一个名字空间kubectl create -f my-namespace.yaml

删除名字空间

删除名字空间的语法：kubectl delete namespaces new-namespace如：kubectl delete namespaces test001

02Namespaces配置Pod配额

首先创建一个命名空间，这样可以将本次操作中创建的资源与集群其他资源隔离开来。

kubectl create namespace quota-pod-example

再创建ResourceQuota

下面是 ResourceQuota 的示例清单：

创建一个quota-pod.yaml,并在文件清单中填入以下内容：apiVersion: v1kind: ResourceQuotametadata:name: pod-demospec:hard:pods: "2"

再使用以下命令进行创建

kubectl apply -f quota-pod.yaml

再使用以下命令查看刚才所创建的pod详情

kubectl get resourcequota pod-demo -n default --output=yaml

删除名字空间

语法如下kubectl delete namespace 名字空间名如：kubectl delete namespace test001

03配置CPU请求和限额

一个 Kubernetes 集群可被划分为多个命名空间。如果你在具有默认 CPU限制的命名空间内创建一个 Pod，并且这个 Pod 中任何容器都没有声明自己的 CPU 限制，那么控制面会为容器设定默认的 CPU限制。

创建一个命名空间，以便本练习中创建的资源和集群的其余部分相隔离。

kubectl create namespace default-cpu-example

创建 LimitRange 和 Pod

以下为 LimitRange 的示例清单。清单中声明了默认 CPU 请求和默认 CPU 限制。

创建cpu-defaults.yaml文件，并在文件中写入如下文件清单apiVersion: v1kind: LimitRangemetadata:name: cpu-limit-rangespec:limits:- default:cpu: 1defaultRequest:cpu: 0.5type: Container

在命名空间 default-cpu-example 中创建 LimitRange 对象：

kubectl apply -f cpu-default.yaml --namespace=default-cpu-example

现在如果你在 default-cpu-example 命名空间中创建一个 Pod，并且该 Pod 中所有容器都没有声明自己的 CPU 请求和 CPU 限制，控制面会将 CPU 的默认请求值 0.5 和默认限制值 1 应用到 Pod 上。

以下为只包含一个容器的 Pod 的清单。该容器没有声明 CPU 请求和限制。

创建cpu-dafaults-pod.yaml文件，并写入以下文件清单apiVersion: v1kind: Podmetadata:name: default-cpu-demospec:containers:- name: default-cpu-demo-ctrimage: nginx

查看pod详情：

kubectl get pod default-cpu-demo --output=yaml --namespace=default-cpu-example

你只声明容器的限制，而不声明请求会怎么样？

以下为只包含一个容器的 Pod 的清单。该容器声明了 CPU 限制，而没有声明 CPU 请求。

创建一个文件，命令为cpu-defaults-pod-2.yaml,并写入以下文件清单apiVersion: v1kind: Podmetadata:name: default-cpu-demo-2spec:containers:- name: default-cpu-demo-2-ctrimage: nginxresources:limits:cpu: "1"

使用以下命令创建pod：

kubectl apply -f cpu-defaults-pod2.yaml -n default-cpu-example

查看创建pod详情：

kubectl get pod default-cpu-demo-2 --output=yaml --namespace=default-cpu-example

输出显示该容器的 CPU 请求和 CPU 限制设置相同。注意该容器没有被指定默认的 CPU 请求值 0.5

cpu：

containers:- image: nginximagePullPolicy: Alwaysname: default-cpu-demo-2-ctrresources:limits:cpu: "1"requests:cpu: "1"

你只声明容器的请求，而不声明它的限制会怎么样？

这里给出了包含一个容器的 Pod 的示例清单。该容器声明了 CPU 请求，而没有声明 CPU 限制。

创建文件cpu-defaults-pod-3.yaml,并写入以下文件清单apiVersion: v1kind: Podmetadata:name: default-cpu-demo-3spec:containers:- name: default-cpu-demo-3-ctrimage: nginxresources:requests:cpu: "0.75"

使用以下命令创建pod

kubectl apply -f cpu-defaults-pod3.yaml -n default-cpu-example

查看创建的 Pod 详情：

kubectl get pod default-cpu-demo-3 --output=yaml --namespace=default-cpu-example

输出显示你所创建的 Pod 中，容器的 CPU 请求为 Pod 清单中声明的值。然而同一容器的 CPU 限制被设置为 1 cpu ，此值是该命名空间的默认 CPU 限制值。

spec:containers:- image: nginximagePullPolicy: Alwaysname: default-cpu-demo-3-ctrresources:limits:cpu: "1"requests:cpu: 750m

04配置默认的内存请求和限额

一个 Kubernetes 集群可被划分为多个命名空间。如果你在具有默认内存限制的命名空间内尝试创建一个 Pod，并且这个 Pod 中的容器没有声明自己的内存资源限制，那么控制面会为该容器设定默认的内存限制。

Kubernetes 还为某些情况指定了默认的内存请求，本章后面会进行介绍。

创建一个命名空间，以便本练习中所建的资源与集群的其余资源相隔离。

kubectl create namespace default-mem-example

创建 LimitRange 和 Pod

以下为 LimitRange 的示例清单。清单中声明了默认的内存请求和默认的内存限制。

创建文件memory-defaults.yaml，并写入以下文件清单内容apiVersion: v1kind: LimitRangemetadata:name: mem-limit-rangespec:limits:- default:memory: 512MidefaultRequest:memory: 256Mitype: Container

在 default-mem-example 命名空间创建限制范围：

kubectl apply -f memory-defaults.yaml --namespace=default-mem-example

现在如果你在 default-mem-example 命名空间中创建一个 Pod，并且该 Pod 中所有容器都没有声明自己的内存请求和内存限制，控制面会将内存的默认请求值 256MiB 和默认限制值 512MiB 应用到Pod 上。

以下为只包含一个容器的 Pod 的清单。该容器没有声明内存请求和限制。

创建memory-defaults-pod.yaml文件，并写入以下文件清单内容apiVersion: v1kind: Podmetadata:name: default-mem-demospec:containers:- name: default-mem-demo-ctrimage: nginx

以下命令创建pod

kubectl apply -f memory-defaults-pod.yaml -n default-mem-example

查看 Pod 的详情：

kubectl get pod default-mem-demo --output=yaml --namespace=default-mem-example

输出内容显示该 Pod 的容器有 256 MiB 的内存请求和 512 MiB 的内存限制。这些都是 LimitRange设置的默认值。

spec:containers:- image: nginximagePullPolicy: Alwaysname: default-mem-demo-ctrresources:limits:memory: 512Mirequests:memory: 256Mi

声明容器的限制而不声明它的请求会怎么样？

以下为只包含一个容器的 Pod 的清单。该容器声明了内存限制，而没有声明内存请求。

创建文件memory-defaults-pod-2.yaml,并写入以下文件清单apiVersion: v1kind: Podmetadata:name: default-mem-demo-2spec:containers:- name: default-mem-demo-2-ctrimage: nginxresources:limits:memory: "1Gi"

创建 Pod：

kubectl apply -f memory-defaults-pod-2.yaml --namespace=default-mem-example

查看Pod:

kubectl get pod default-mem-demo-2 --output=yaml --namespace=default-mem-example

输出结果显示容器的内存请求被设置为它的内存限制相同的值。注意该容器没有被指定默认的内存请求值 256MiB。

spec:containers:- image: nginximagePullPolicy: Alwaysname: default-mem-demo-2-ctrresources:limits:memory: 1Girequests:memory: 1Gi

声明容器的内存请求而不声明内存限制会怎么样？

以下为只包含一个容器的 Pod 的清单。该容器声明了内存请求，但没有内存限制：

创建memory-defaults-pod-3.yaml文件，并填入以下文件清单apiVersion: v1kind: Podmetadata:name: default-mem-demo-3spec:containers:- name: default-mem-demo-3-ctrimage: nginxresources:requests:memory: "128Mi"

创建Pod：

kubectl apply -f memory-defaults-pod-3.yaml --namespace=default-mem-example

查看Pod声明：

spec:containers:- image: nginximagePullPolicy: Alwaysname: default-mem-demo-3-ctrresources:limits:memory: 512Mirequests:memory: 128Mi

输出结果显示所创建的 Pod 中，容器的内存请求为 Pod 清单中声明的值。然而同一容器的内存限制被设置为 512MiB，此值是该命名空间的默认内存限制值。

05配置最大和最小内存限制

创建命名空间

创建一个命名空间，以便在此练习中创建的资源与集群的其余资源隔离。

kubectl create namespace constraints-mem-example

创建 LimitRange 和 Pod

下面是 LimitRange 的示例清单：

创建memory-constraints.yaml文件，并填入以下文件清单内容：apiVersion: v1kind: LimitRangemetadata:name: mem-min-max-demo-lrspec:limits:- max:memory: 1Gimin:memory: 500Mitype: Container

创建 LimitRange:

kubectl apply -f memory-constraints.yaml --namespace=constraints-mem-example

查看 LimitRange 的详情：

kubectl get limitrange mem-min-max-demo-lr --namespace=constraints-mem-example --output=yaml

输出显示预期的最小和最大内存约束。但请注意，即使你没有在 LimitRange 的配置文件中指定默认值，默认值也会自动生成。

spec:limits:- default:memory: 1GidefaultRequest:memory: 1Gimax:memory: 1Gimin:memory: 500Mitype: Container

现在，每当在 constraints-mem-example 命名空间中创建 Pod 时，Kubernetes 就会执行下面的步骤：

如果 Pod 中的任何容器未声明自己的内存请求和限制，控制面将为该容器设置默认的内存请求和限制。
确保该 Pod 中的每个容器的内存请求至少 500 MiB。
确保该 Pod 中每个容器内存请求不大于 1 GiB。

以下为包含一个容器的 Pod 清单。该容器声明了 600 MiB 的内存请求和 800 MiB 的内存限制，这些满足了 LimitRange 施加的最小和最大内存约束。

创建文件memory-constraints-pod.yamlapiVersion: v1kind: Podmetadata:name: constraints-mem-demospec:containers:- name: constraints-mem-demo-ctrimage: nginxresources:limits:memory: "800Mi"requests:memory: "600Mi"

创建Pod:

kubectl apply -f memory-constraints-pod.yaml --namespace=constraints-mem-example

确认 Pod 正在运行，并且其容器处于健康状态：

kubectl get pod constraints-mem-demo --namespace=constraints-mem-example

查看 Pod 详情：

kubectl get pod constraints-mem-demo --output=yaml --namespace=constraints-memexample

输出结果显示该 Pod 的容器的内存请求为 600 MiB，内存限制为 800 MiB。这些满足这个命名空间中 LimitRange 设定的限制范围。

spec:containers:- image: nginximagePullPolicy: Alwaysname: constraints-mem-demo-ctrresources:limits:memory: 800Mirequests:memory: 600Mi

尝试创建一个超过最大内存限制的 Pod

以下为包含一个容器的 Pod 的清单。这个容器声明了 800 MiB 的内存请求和 1.5 GiB 的内存限制。

创建memory-constraints-pod-2.yaml，并输入以下文件清单内容apiVersion: v1kind: Podmetadata:name: constraints-mem-demo-2spec:containers:- name: constraints-mem-demo-2-ctrimage: nginxresources:limits:memory: "1.5Gi"requests:memory: "800Mi"

尝试创建 Pod:

kubectl apply -f memory-constraints-pod-2.yaml --namespace=constraints-memexample

输出结果显示 Pod 没有创建成功，因为它定义了一个容器的内存请求超过了允许的值。

Error from server (Forbidden): error when creating "memory-constraints-pod-2.yaml": pods "constraints-mem-demo-2" is forbidden: maximum memory usage perContainer is 1Gi, but limit is 1536Mi

尝试创建一个不满足最小内存请求的 Pod

以下为只有一个容器的 Pod 的清单。这个容器声明了 100 MiB 的内存请求和 800 MiB 的内存限制。

创建文件memory-constraints-pod-3.yaml,并输入以下文件内容清单apiVersion: v1kind: Podmetadata:name: constraints-mem-demo-3spec:containers:- name: constraints-mem-demo-3-ctrimage: nginxresources:limits:memory: "800Mi"requests:memory: "100Mi"

尝试创建 Pod：

kubectl apply -f memory-constraints-pod-3.yaml --namespace=constraints-memexample

输出结果显示 Pod 没有创建成功，因为它定义了一个容器的内存请求小于强制要求的最小值：

Error from server (Forbidden): error when creating "memory-constraints-pod-3.yaml": pods "constraints-mem-demo-3" is forbidden: minimum memory usage perContainer is 500Mi, but request is 100Mi

创建一个没有声明内存请求和限制的 Pod

以下为只有一个容器的 Pod 清单。该容器没有声明内存请求，也没有声明内存限制。

创建文件memory-constraints-pod-4.yaml,并填入以下文件清单内容：apiVersion: v1kind: Podmetadata:name: constraints-mem-demo-4spec:containers:- name: constraints-mem-demo-4-ctrimage: nginx

创建 Pod：

kubectl apply -f memory-constraints-pod-4.yaml --namespace=constraints-memexample

查看 Pod 详情：

kubectl get pod constraints-mem-demo-4 --namespace=constraints-mem-example --output=yaml

输出结果显示 Pod 的唯一容器内存请求为 1 GiB，内存限制为 1 GiB。容器怎样获得那些数值呢？

spec:containers:- image: nginximagePullPolicy: Alwaysname: constraints-mem-demo-4-ctrresources:limits:memory: 1Girequests:memory: 1Gi

查看 Pod 详情：

kubectl get pod constraints-mem-demo-4 --namespace=constraints-mem-example --output=yaml

输出结果显示 Pod 的唯一容器内存请求为 1 GiB，内存限制为 1 GiB。容器怎样获得那些数值呢？

spec:containers:- image: nginximagePullPolicy: Alwaysname: constraints-mem-demo-4-ctrresources:limits:memory: 1Girequests:memory: 1Gi

因为你的 Pod 没有为容器声明任何内存请求和限制，集群会从 LimitRange 获取默认的内存请求和限制。应用于容器。

这意味着 Pod 的定义会显示这些值。你可以通过 kubectl describe 查看：

# 查看输出结果中的 "Requests:" 的值kubectl describe pod constraints-mem-demo-4 --namespace=constraints-mem-example

强制执行内存最小和最大限制

LimitRange 为命名空间设定的最小和最大内存限制只有在 Pod 创建和更新时才会强制执行。如果你更新LimitRange，它不会影响此前创建的 Pod。

设置内存最小和最大限制的动因

作为集群管理员，你可能想规定 Pod 可以使用的内存总量限制。例如：

集群的每个节点有 2 GiB 内存。你不想接受任何请求超过 2 GiB 的 Pod，因为集群中没有节点可以满足。
集群由生产部门和开发部门共享。你希望允许产品部门的负载最多耗用 8 GiB 内存，但是开发部门的负载最多可使用 512 MiB。这时，你可以为产品部门和开发部门分别创建名字空间，并为各个名字空间设置内存约束。

06配置CPU和内存配额

创建命名空间

创建一个命名空间，以便本练习中创建的资源和集群的其余部分相隔离。

kubectl create namespace quota-mem-cpu-example

创建 ResourceQuota

下面是 ResourceQuota 的示例清单：

#创建文件quota-mem-cpu.yaml，并填入以下文件清单内容apiVersion: v1kind: ResourceQuotametadata:name: mem-cpu-demospec:hard:requests.cpu: "1"requests.memory: 1Gilimits.cpu: "2"limits.memory: 2Gi

创建 ResourceQuota：

kubectl apply -f quota-mem-cpu.yaml --namespace=quota-mem-cpu-example

查看 ResourceQuota 详情：

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

ResourceQuota 在 quota-mem-cpu-example 命名空间中设置了如下要求：

在该命名空间中的每个 Pod 的所有容器都必须要有内存请求和限制，以及 CPU 请求和限制。

在该命名空间中所有 Pod 的内存请求总和不能超过 1 GiB。
在该命名空间中所有 Pod 的内存限制总和不能超过 2 GiB。
在该命名空间中所有 Pod 的 CPU 请求总和不能超过 1 cpu。
在该命名空间中所有 Pod 的 CPU 限制总和不能超过 2 cpu。

以下是 Pod 的示例清单：

#创建文件quota-mem-cpu-pod.yaml，并填入以下文件清单内容apiVersion: v1kind: Podmetadata:name: quota-mem-cpu-demospec:containers:- name: quota-mem-cpu-demo-ctrimage: nginxresources:limits:memory: "800Mi"cpu: "800m"requests:memory: "600Mi"cpu: "400m"

创建 Pod

kubectl apply -f quota-mem-cpu-pod.yaml --namespace=quota-mem-cpu-example

确认 Pod 正在运行，并且其容器处于健康状态：

kubectl get pod quota-mem-cpu-demo --namespace=quota-mem-cpu-example

再查看 ResourceQuota 的详情：

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

输出结果显示了配额以及有多少配额已经被使用。你可以看到 Pod 的内存和 CPU 请求值及限制值没有超过配额。

status:hard:limits.cpu: "2"limits.memory: 2Girequests.cpu: "1"requests.memory: 1Giused:limits.cpu: 800mlimits.memory: 800Mirequests.cpu: 400mrequests.memory: 600Mi

如果有 jq 工具的话，你可以通过（使用 JSONPath）直接查询 used 字段的值，并且输出整齐的JSON 格式。

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example -ojsonpath='{ .status.used }' | jq .

尝试创建第二个 Pod

以下为第二个 Pod 的清单：

#创建文件quota-mem-pod-2.yaml,并填入以下文件清单内容apiVersion: v1kind: Podmetadata:name: quota-mem-cpu-demo-2spec:containers:- name: quota-mem-cpu-demo-2-ctrimage: redisresources:limits:memory: "1Gi"cpu: "800m"requests:memory: "700Mi"cpu: "400m"

在清单中，你可以看到 Pod 的内存请求为 700 MiB。请注意新的内存请求与已经使用的内存请求之和超过了内存请求的配额：600 MiB + 700 MiB > 1 GiB。

尝试创建 Pod：

kubectl apply -f quota-mem-cpu-pod-2.yaml --namespace=quota-mem-cpu-example

第二个 Pod 不能被创建成功。输出结果显示创建第二个 Pod 会导致内存请求总量超过内存请求配额。

Error from server (Forbidden): error when creating "quota-mem-cpu-pod-2.yaml":pods "quota-mem-cpu-demo-2" is forbidden: exceeded quota: mem-cpu-demo,requested: requests.memory=700Mi, used: requests.memory=600Mi, limited:requests.memory=1Gi

可以用 ResourceQuota 限制命名空间中所有 Pod 的内存请求总量。同样你也可以限制内存限制总量、CPU 请求总量、CPU 限制总量。

除了可以管理命名空间资源使用的总和，如果你想限制单个 Pod，或者限制这些 Pod 中的容器资源，可以使用 LimitRange 实现这类的功能。