摘要:Kubernetes命名空间帮助您整理应用、隔离环境、控制资源,通过命令或YAML文件创建管理。它是保持集群整洁和安全的关键工具。
Kubernetes命名空间帮助您整理应用、隔离环境、控制资源,通过命令或YAML文件创建管理。它是保持集群整洁和安全的关键工具。
在 Kubernetes 中管理应用程序会很快变得混乱。当所有东西都堆在一起运行时,很难保持井然有序。删除错误的 Pod 或混淆开发和生产环境等错误都太容易发生了。
这就是命名空间 (namespaces) 可以提供帮助的地方。它们就像集群的文件夹,帮助你将系统的不同部分整齐地分开。无论你是管理多个团队、环境还是应用程序,命名空间都能确保它们互不干扰。
了解如何使用 kubectl 命令创建命名空间,并探索一些技巧,以保持集群的整洁和受控。
可以将命名空间想象成电脑上的一个文件夹。它将事物分组,这样你就不会混淆文件——或者在这个例子中,是应用程序和服务。
组织大型项目分离环境,例如开发、测试和生产控制谁可以访问什么避免命名冲突更轻松地清理资源在创建命名空间之前,你需要准备好一些东西。这些是基础知识,你可能已经具备了。
请确保你已具备:
一个正常运行的 Kubernetes 集群(即使是像 Minikube 这样的本地集群也可以)。kubectl 已安装并连接到你的集群。了解如何在终端中运行命令的基本知识。小型设置不需要命名空间,但如果你要管理多个应用程序——或者有不同的团队在同一个集群上工作——它们是必不可少的。
让我们进入正题:如何创建命名空间。最直接的方法是使用一个简单的命令:
kubectl create namespace your-namespace-name只需替换为你想要使用的名称即可!现在让我们看看你可以添加的一些选项。
你可以在创建命名空间时为其添加标签。标签可以帮助你用有用的信息标记命名空间,例如它属于哪个团队。
以下是带有标签的示例:
kubectl create namespace your-namespace-name --dry-run=client -o yaml | kubectl label -f - team=frontend此命令为你的命名空间添加一个名为 team=frontend 的标签。
你可能会使用的标志:
你也可以在 YAML 文件中定义命名空间。如果你想跟踪你的设置或与团队共享,这会很有用。
这是一个基本的 YAML 示例:
apiVersion: v1kind: Namespacemetadata:name: your-namespace-name要从该文件创建命名空间,请运行:kubectl apply -f namespace.yaml
使用 YAML 在团队协作、自动化或使用 GitOps 工具时特别有用。
创建命名空间后,你会想确保它确实存在——也许会查看内部,看看发生了什么。Kubernetes 提供了几种使用 kubectl 轻松完成此操作的方法。
要查看集群中的所有命名空间,只需运行:kubectl get ns。
你将获得如下列表:
NAME STATUS AGEdefault Active 10dkube-system Active 10dyour-namespace Active 2m这证实你的命名空间已启动并正在运行。
如果你想了解特定命名空间的更多详细信息,请使用:kubectl describe namespace your-namespace-name。
这会显示标签、状态和任何已应用的策略等信息。这是仔细检查所有设置是否符合预期要求的好方法。
命名空间不仅用于组织事物,还可以帮助你控制每个团队或应用程序可以使用多少 CPU、内存和其他资源。这可以防止一个应用程序独占所有资源并导致其他应用程序崩溃。
你可以设置命名空间可以使用的 CPU 和内存限制。首先,创建如下 YAML 文件:
apiVersion: v1kind: ResourceQuotametadata:name: basic-quotanamespace: your-namespace-namespec:hard:requests.cpu: "1"requests.memory: 500Milimits.cpu: "2"limits.memory: 1Gi然后用:kubectl apply -f quota.yaml 应用它。
这会告诉 Kubernetes:“嘿,这个命名空间不能使用超过这个数量的 CPU 或内存。”
你还可以限制命名空间可以拥有的 Pod、服务或 Secret 的数量。这是一个示例:
spec:hard:pods: "10"services: "5"secrets: "20"将此添加到你的配额 YAML 中,以确保命名空间不会过于拥挤。
基于角色的访问控制 (RBAC) 可帮助你管理谁可以在命名空间内做什么。例如,你可能希望授予开发团队访问一个命名空间的权限,但不能访问另一个。
首先,创建描述允许哪些操作的角色 (Role):
apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata:namespace: your-namespace-namename: pod-readerrules:- apiGroups: [""]resources: ["pods"]verbs: ["get", "watch", "list"]然后,将该角色绑定到用户或组:
apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata:name: read-podsnamespace: your-namespace-namesubjects:- kind: Username: dev-userapiGroup: rbac.authorization.k8s.ioroleRef:kind: Rolename: pod-readerapiGroup: rbac.authorization.k8s.io这赋予了 dev-user 在该命名空间中读取 Pod 信息的权限——仅此而已。
服务账号作用域你可以将角色分配给应用程序使用的服务账号,而不是分配给用户。这样,你的应用程序只获得它实际需要的资源的访问权限。
示例:
subjects:- kind: ServiceAccountname: my-appnamespace: your-namespace-name这可以确保安全,并避免授予应用程序不必要的权限。
命名空间不仅适用于组织应用程序;它们也非常适合自动化你的工作流程。在 CI/CD 流水线中,你可以使用命名空间来保持测试运行的干净和彼此分离。
每次你的流水线运行时,你都可以为该测试启动一个全新的命名空间。这可以使测试相互隔离,因此它们不会干扰你的主应用程序或彼此。
示例命令: kubectl create namespace test-run-123。
你可以使用脚本生成唯一的名称,例如 test-run-001、test-run-002 等。这在测试拉取请求或新构建时特别方便。
自动清理策略测试完成后,清理该命名空间以节省资源。
以下是删除它的方法:kubectl delete namespace test-run-123。
有些团队还会添加基于时间的清理,例如删除任何超过一小时的测试命名空间。你可以通过脚本实现这一点,或使用 Kubernetes Jobs 或 ttl 控制器等工具。
即使是简单的命令也可能遇到障碍。以下是一些常见的与命名空间相关的错误以及如何解决它们。
如果你尝试创建一个已存在的命名空间,你将看到如下错误:
Error from server (AlreadyExists): namespaces "your-namespace-name" already exists解决方案:
仔细检查你的命名空间名称。你也可以使用 kubectl get ns 列出现有命名空间。或者,如果你打算更新某些内容,请使用 apply 而不是 create。如果你的命名空间 YAML 文件在名称或标签中包含错误格式或不支持的字符,Kubernetes 将抛出错误。
常见错误:
使用大写字母或空格缺少必需字段,例如名称始终仔细检查你的 YAML 文件。你可以在应用之前通过运行以下命令来验证它:
kubectl apply --dry-run=client -f your-file.yaml这会显示是否有任何错误,而不会实际进行更改。
命名空间可以帮助你保持组织性,但前提是你以正确的方式使用它们。如果没有一个清晰的系统,事情很快就会变得混乱,尤其是有更多人员和应用程序加入时。
以下是如何保持你的命名空间设置干净、逻辑清晰且易于管理的方法。
命名约定一个好的命名系统可以让你通过查看名称就知道命名空间的作用。坚持使用简短、清晰且一致的名称。
命名技巧:
仅使用小写字母和连字符(Kubernetes 对此很挑剔!)。在名称中包含用途或所有者。避免模糊的名称,例如 project1 或 testtemp。示例:
frontend-prodbackend-devteam-alpha-staging如果你在 CI/CD 流水线中使用命名空间,请使用唯一但可追溯的名称,例如:
test-pr-204ci-run-2025-07-17这有助于你以后查找和清理它们。
命名空间是灵活的——你可以根据需要对事物进行分组。但以下是一些最常见和最有效的方法:
按团队: 每个团队都有自己的命名空间。这使他们的资源相互隔离,并为他们提供了试验空间,而不会相互干扰。
示例:
team-marketingteam-infra按环境: 分离开发、测试、预发布和生产环境。这可以避免事故,例如将未完成的代码部署到你的实时应用程序。
示例:
按应用程序: 如果你的集群运行许多小型应用程序,请为每个应用程序分配自己的命名空间。这可以防止服务冲突,并使管理权限和配额变得更容易。
示例:
billing-serviceuser-auth你甚至可以组合这些方法。例如:
frontend-devbackend-prodteam-ops-staging只需确保每个人都遵循相同的模式,这样你的集群就不会变成一个命名混乱的局面。
创建命名空间很容易。忘记删除它们?更容易。但是,残留的命名空间会浪费资源、使你的集群混乱,如果它们仍然可以访问敏感数据,甚至会造成安全风险。
以下是如何像专业人士一样进行清理,而不会意外删除重要内容。
要删除命名空间,请运行:kubectl delete namespace your-namespace-name。
就是这样。Kubernetes 将清除其中的所有内容——Pod、服务、Secret、配置——所有一切。但一旦删除,就无法挽回。在按 Enter 键之前,请务必仔细检查名称。
如果你不确定命名空间包含什么,请首先列出其资源:kubectl get all -n your-namespace-name。
这将显示正在运行的内容——Pod、部署、服务等。你还可以检查 Secret 和 ConfigMap:
kubectl get secrets -n your-namespace-namekubectl get configmaps -n your-namespace-name这就像在扔掉冰箱之前先看看里面一样——你可能会发现一些值得保存的东西!
有时命名空间会卡在 Terminating 状态。这通常意味着内部有东西挂起并且没有释放。
故障排除步骤:
运行 kubectl get namespace your-namespace-name -o json。在底部查找 finalizers。手动删除 finalizers(高级——但在极少数情况下有用)。请谨慎使用:
kubectl patch namespace your-namespace-name -p '{"metadata":{"finalizers":}}' --type=merge这会强制删除命名空间,但前提是您确定这样做是安全的。
如果你将命名空间用于短期用途,例如测试运行或 CI/CD,请设置自动化以定期删除旧的命名空间。
以下是一些想法:
添加 TTL (time-to-live) 标签,例如 ttl=1h。编写一个清理脚本,检查命名空间年龄并删除旧的命名空间。如果你的集群支持 Kubernetes TTL 控制器,请使用它们。这可以使你的集群保持整洁,而无需持续的照看。
命名空间是 Kubernetes 中最简单但功能最强大的工具之一。它们可以帮助你组织应用程序、保护环境、控制资源并在没有混乱的情况下进行扩展。
从用一行命令创建命名空间到设置配额、RBAC 和自动化清理,你现在知道如何构建一个干净、安全且对团队友好的 Kubernetes 设置。
无论你是管理单个应用程序还是整个集群,正确使用命名空间都能为你提供自信成长所需的控制和清晰度。
查看我们的分步指南《如何在 Kubernetes 中移除部署》,并保持你的集群整洁。
主要来源:
来源:小赵讲科学
