K8S 生态周报 | Kubernetes 1.25 首次添加 user namespaces 支持

大家好，我是张晋涛。本周同样是忙碌的一周，一个经验分享给大家，优先回答问题而非解释细节。这也就是为什么我经常在文章的开头都会先说明下文章主要涵盖的内容，这样有助于节省时间。

Kubernetes v1.25 即将推出 user namespaces 支持

Kubernetes v1.25 的最新进展无疑是增加了对 user namespaces 的支持。user namespaces 是一种 Linux 内核特性，它允许在单个节点上创建多个独立的用户命名空间。这意味着在同一台机器上可以运行多个 Kubernetes 集群，而无需担心命名冲突或资源争用。

这一新增功能对于那些希望在共享基础设施上运行多个集群的用户来说是一个福音。它还可以用于隔离不同应用程序或团队的资源，从而提高安全性并简化管理。

user namespaces 如何工作？

user namespaces 是通过创建一个新的用户 ID 映射表来实现的。这个映射表将用户 ID 映射到一组新的用户 ID 和组 ID。这意味着在 user namespace 内运行的进程将具有不同的用户 ID 和组 ID，即使它们在主机系统上具有相同的用户 ID 和组 ID。

这使得进程可以被彼此隔离，即使它们在同一台机器上运行。这可以防止进程访问彼此的文件、内存或其他资源。

user namespaces 的好处

user namespaces 有许多好处，包括：

• 安全性： user namespaces 可以提高安全性，因为它们可以防止进程访问彼此的文件、内存或其他资源。这使得它们成为隔离不同应用程序或团队资源的理想选择。
• 隔离： user namespaces 可以隔离不同应用程序或团队的资源。这可以防止一个应用程序或团队的资源被另一个应用程序或团队使用。
• 资源管理： user namespaces 可以用于管理资源。例如，可以为每个 user namespace 分配一定数量的 CPU 和内存资源。这可以防止一个应用程序或团队使用过多的资源，从而影响其他应用程序或团队的性能。

Kubernetes 中的 user namespaces

在 Kubernetes 中，user namespaces 可以用于创建多个独立的集群。这可以用于隔离不同应用程序或团队的资源，从而提高安全性并简化管理。

要使用 user namespaces，需要在 Kubernetes 集群中启用该功能。这可以通过在 kube-apiserver 和 kubelet 组件中设置 --user-namespace-enabled 标志来实现。

启用 user namespaces 后，就可以在集群中创建 user namespace。这可以通过使用 kubectl create namespace 命令来实现，并指定 --user-namespace 标志。

user namespace 创建后，就可以在其中创建 Pod 和其他资源。这些资源将在 user namespace 中运行，并与其他 user namespace 中的资源隔离。

结论

user namespaces 是 Linux 内核的一项强大特性，它允许在单个节点上创建多个独立的用户命名空间。Kubernetes v1.25 中新增了对 user namespaces 的支持，这使得在共享基础设施上运行多个集群成为可能。user namespaces 还可以用于隔离不同应用程序或团队的资源，从而提高安全性并简化管理。