Kubernetes 命名空间

命名空间将物理集群划分为多个虚拟集群，不同的组可以通过有效隔离共享相同的物理集群

命名空间：

一组名称，命名空间中对象名称是唯一的

确保可信身份认证的策略

为资源管理配置配额，提供不同级别的QoS

并非所有对象都在命名空间中，如属于整个集群的节点和持久卷

默认命名空间

default 包含在不指定任何命名空间的情况下创建对象

kube-system 包含由k8s系统创建的对象，通常由k8s系统创建的对象，通常由系统组件使用，如k8s仪表盘、k8s DNS

kube-public 存放每个人都可以访问的资源，目前主要应用是公开的ConfigMap，如集群信息

上下文context是集群信息、用户和命名空间的组合这一概念

资源配额

默认情况下，k8s中的pod不限制资源使用

ResourceQuota是资源对象，允许限制命名空间内可以消耗的资源，减少邻居干扰的发生

三种资源配额：

计算资源配额（CPU、内存）

存储资源配额（请求的存储、持久卷声明）

对象数量配额（Pod、RC、ConfigMap、Service、LoadBalancer）

已创建的资源不受新创建资源配额的影响，如果资源创建请求超过制定的ResourceQuota，资源无法启动

删除命名空间

kubectl delete namespace <namespace_name>

删除命名空间，则与该命名空间关联的所有资源将被清除

Kubeconfig

是一个文件，通过切换上下文在多个集群切换

使用kubectl config view 来查看设置

服务账户

与普通用户不同，服务账户（service account）为pod内的进程使用，以联系Kubernetes API服务器

默认下，k8s集群会为不同的需求创建不同的服务账户

k8s在每个命名空间中创建一个默认服务账户，如创建容器期间未创建，则使用默认账户

认证与授权

认证：验证用户身份并检查用户是否确实是他们声称的

授权：检查用户所具有的权限

k8s支持多种不同的认证和授权模块

API服务器访问控制