K8s 1.27.1 实战系列(五)Namespace
Kubernetes 1.27.1 中的 Namespace(命名空间)是集群中实现多租户资源隔离的核心机制。以下从功能、操作、配置及实践角度进行详细解析:
一、核心功能与特性
1、资源隔离
Namespace 将集群资源划分为逻辑组,实现 Pod、Service、Deployment 等资源的虚拟隔离。例如,开发环境与生产环境的资源可独立管理,避免相互干扰。
- 非完全隔离性:默认仅逻辑隔离,网络和存储仍互通,需通过 Network Policies 实现网络隔离。
2、权限控制(RBAC)
通过 Role 和 RoleBinding 限制用户或服务账户对特定 Namespace 的访问权限。例如,开发团队仅能操作 dev Namespace 中的资源。
3、资源配额管理
使用 ResourceQuota 限制 Namespace 的总资源消耗(如 CPU、内存、PVC 数量),避免资源滥用:
apiVersion: v1
kind: ResourceQuota
metadata:
name: example-quota
namespace: dev
spec:
hard:
requests.cpu: "2"
limits.memory: 8Gi4、组织管理
按团队、项目或环境&