本页面说明了如何使用 Config Sync 来管理命名空间和命名空间级对象。您还可以阅读配置集群和集群级对象。
配置命名空间
非结构化格式
命名空间和命名空间级对象的配置可以位于目录或子目录中的任何位置。
请按照以下步骤在每个已注册的集群中配置名为 gamestore 的命名空间。 您只需要创建一个包含命名空间配置的 YAML 文件。本例将文件添加到根目录中。可将其移至任何子目录。
创建一个包含以下内容的
namespace-gamestore.yaml文件。apiVersion: v1 kind: Namespace metadata: name: gamestore创建包含
namespace-gamestore.yaml配置的提交实例,并将该实例推送到远程代码库。git add multirepo/root/namespace-gamestore.yaml git commit -m "Created gamestore namespace config" git push [NAME-OF-REMOTE] [BRANCH-NAME]
分层格式
命名空间和命名空间范围的对象的所有配置都位于分层代码库的 namespaces/ 目录及其后代目录中。
请按照以下步骤在每个已注册的集群中配置名为 gamestore 的命名空间。
在存储库的本地克隆中,创建一个命名空间目录。命名空间目录包含命名空间的配置。命名空间目录的名称必须与命名空间的名称一致。在此示例中,命名空间目录名为
namespaces/gamestore:mkdir namespaces/gamestore
在命名空间目录中,创建一个包含以下内容的
gamestore.yaml文件。metadata.name必须与命名空间的名称(以及命名空间目录的名称)相匹配。apiVersion: v1 kind: Namespace metadata: name: gamestore创建包含
gamestore.yaml配置的提交实例,并将该实例推送到远程存储库。git add namespaces/gamestore/gamestore.yaml git commit -m "Created gamestore namespace config" git push [NAME-OF-REMOTE] [BRANCH-NAME]
稍等片刻之后,系统就会在每个已注册的集群中创建 gamestore 命名空间。如需进行验证,请描述该命名空间:
kubectl describe namespace gamestore
如需移除配置并从已注册的集群中删除 gamestore 命名空间,您可以创建一项新的提交实例以移除相应文件,然后将该实例推送到远程代码库。
配置抽象命名空间
此示例在配置命名空间中的示例基础上进行了延伸,将 gamestore 命名空间目录移动到包含 gamestore 命名空间所继承的其他配置的抽象命名空间。
在存储库的本地克隆中,创建一个名为
eng的抽象命名空间目录。抽象命名空间目录不包含命名空间的配置,但其后代命名空间目录包含该配置。mkdir namespaces/eng
在
eng抽象命名空间目录中,为名为eng-viewer的 Role 创建配置,以针对最终继承该 Role 的任何命名空间中的所有资源授予get和list权限。# namespaces/eng/eng-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: eng-viewer rules: - apiGroups: [""] resources: ["*"] verbs: ["get", "list"]为名为
eng-admin的 RoleBinding 创建配置,以将eng-viewer角色绑定到eng@example.com群组:# namespaces/eng/eng-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: eng-admin subjects: - kind: Group name: eng@example.com apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: eng-viewer apiGroup: rbac.authorization.k8s.io将
gamestore命名空间目录从namespaces/移动到namespaces/eng/目录:mv namespaces/gamestore/ namespaces/eng/
提交所有更改并将其推送到远程存储库。
Config Management Operator 会注意到这些更改,并将新的 Role 和 RoleBinding 应用于所有已注册集群上的 gamestore 命名空间。
如需移除这些配置并从已注册的集群中删除 gamestore 命名空间,您可以创建一个新提交实例来移除整个 eng 抽象命名空间,并将该实例推送到远程存储库。
限制受配置影响的集群
通常,Config Sync 会将配置应用到每个已注册的集群。如果配置位于分层代码库的 namespaces/ 子目录中,则 Config Sync 会先在每个集群中创建命名空间,然后再将所有继承的配置应用到该命名空间。
如需根据每个集群的标签限制受特定配置影响的集群,请参阅将配置应用于部分集群。
限制受配置影响的命名空间
NamespaceSelector 是一种使用 Kubernetes labelSelector 的特殊类型配置。您可以在非结构化代码库或分层代码库中声明 NamespaceSelector,以限制 Namespace 级对象的配置,以限制哪些对象命名空间可以继承该配置。
注意:NamespaceSelector 与 ClusterSelector 相似,但不完全相同。
NamespaceSelector 缩小配置所适用的命名空间池。在非结构化代码库中,声明 NamespaceSelector 注释的对象应用于满足 NamespaceSelector 的条件的所有命名空间。在分层代码库中,无论 namespaces/ 目录的结构如何,声明 NamespaceSelector 注释的对象都会应用于从抽象命名空间继承指定配置的命名空间。无论一项配置是针对集群级对象还是命名空间级对象,ClusterSelector 都会将该配置所适用的集群池缩小到一定的范围。
NamespaceSelector 位置
- 非结构化格式:在非结构化代码库中,您可以将 NamespaceSelector 放入任何目录或子目录中。
分层格式:在分层代码库中,您可以将 NamespaceSelector 放置在任何抽象命名空间目录中,但不能放置在命名空间中目录中。
以下示例代码库显示了 NamespaceSelector 的有效位置和无效位置:
namespace-inheritance ... ├── namespaces │ ├── eng │ │ ├── gamestore │ │ │ ├── namespace.yaml │ │ │ └── ns_selector.yaml # invalid │ │ └── ns_selector.yaml # valid │ ├── ns_selector.yaml # valid │ ├── rnd │ │ ├── incubator-1 │ │ │ ├── namespace.yaml │ │ │ └── ns_selector.yaml # invalid │ │ └── ns_selector.yaml # valid由于
namespaces、eng和rnd目录表示抽象命名空间,因此您可以在这些目录中添加选择器。但是,由于gamestore和incubator-1目录表示实际命名空间,因此您无法在这些命名空间中放置 NamespaceSelector。
使用 NamespaceSelector
以下配置会创建一个名为 gamestore-selector 的 NamespaceSelector。如果您在另一项配置中引用了此 NamespaceSelector,那么该配置只能应用于具有 app: gamestore 标签的命名空间中的对象。
kind: NamespaceSelector
apiVersion: configmanagement.gke.io/v1
metadata:
name: gamestore-selector
spec:
selector:
matchLabels:
app: gamestore
如需在配置中引用 NamespaceSelector,请将 configmanagement.gke.io/namespace-selector 注释设置为 NamespaceSelector 的名称。
当您在另一个配置中引用 NamespaceSelector 之后,该 NamespaceSelector 才会生效。
如果 gamestore-selector NamespaceSelector 位于与以下 ResourceQuota quota 相同的层次结构中,那么系统将仅在具有 app: gamestore 标签的命名空间中创建 ResourceQuota:
kind: ResourceQuota
apiVersion: v1
metadata:
name: quota
annotations:
configmanagement.gke.io/namespace-selector: gamestore-selector
spec:
hard:
pods: "1"
cpu: "200m"
memory: "200Mi"
总而言之,使用 NamespaceSelector 的过程分为三个步骤:
- 向命名空间添加标签。
- 创建 NamespaceSelector 配置。
- 在另一个配置中引用 NamespaceSelector 对象。
禁止继承某个对象类型
您可以有选择地针对任何配置停用继承功能,只需将 hierarchyMode 字段设置为 none 即可。HierarchyConfig 存储在存储库的 system/ 目录中。以下示例会禁止继承 RoleBinding。
# system/hierarchy-config.yaml
kind: HierarchyConfig
apiVersion: configmanagement.gke.io/v1
metadata:
name: rbac
spec:
resources:
# Configure Role to only be allowed in leaf namespaces.
- group: rbac.authorization.k8s.io
kinds: [ "RoleBinding" ]
hierarchyMode: none
后续步骤
- 详细了解如何配置集群和集群级对象
- 了解如何将配置应用于部分集群