Použití spravovaných jmenných prostorů ve službě Azure Kubernetes Service (AKS)

Platí pro: ✔️ AKS Automatic ✔️ AKS Standard

Spravované obory názvů ve službě Azure Kubernetes Service (AKS) poskytují způsob, jak logicky izolovat úlohy a týmy v rámci clusteru. Tato funkce umožňuje správcům vynucovat kvóty prostředků, používat zásady sítě a spravovat řízení přístupu na úrovni oboru názvů. Podrobný přehled spravovaných oborů názvů najdete v přehledu spravovaných oborů názvů.

Než začnete

Požadavky

• Účet Azure s aktivním předplatným. Pokud ho nemáte, můžete si zdarma vytvořit účet.
• Cluster AKS nastavený ve vašem prostředí Azure s řízením přístupu na základě role v Azure pro autorizaci Kubernetes se vyžaduje, pokud máte v úmyslu využívat role Azure RBAC.
• Aby bylo možné použít funkci zásad sítě, musí být cluster AKS nakonfigurovaný s modulem zásad sítě. Cilium je náš doporučený motor.

Předpoklad	Poznámky
Azure CLI	2.80.0 nebo novější nainstalován. Pokud chcete zjistit verzi CLI, spusťte az --version. Pokud potřebujete instalovat nebo upgradovat, podívejte se na Install Azure CLI.
Verze rozhraní API AKS	2025-09-01 nebo novější.
Požadovaná oprávnění	Microsoft.ContainerService/managedClusters/managedNamespaces/* nebo Azure Kubernetes Service Namespace Contributor předdefinovaná role. Microsoft.Resources/deployments/* ve skupině prostředků obsahující cluster. Další informace najdete v tématu Předdefinované role spravovaných oborů názvů.

Omezení

• Pokus o on-board systémové obory názvů, jako kube-systemjsou , app-routing-system, istio-system, gatekeeper-system, atd. pro spravované obory názvů není povoleno.
• Pokud je obor názvů spravovaným oborem názvů, změny oboru názvů prostřednictvím rozhraní Kubernetes API se zablokují.

• Výpis existujících oborů názvů, které se mají převést na portálu, nefunguje s privátními clustery. Můžete přidat nové obory názvů.

Vytvoření spravovaného oboru názvů v clusteru a přiřazení uživatelů

Poznámka:

Při vytváření spravovaného oboru názvů se v clusteru nainstaluje komponenta, která shodí obor názvů se stavem v Azure Resource Manageru. Tato komponenta blokuje změny spravovaných polí a prostředků z rozhraní API Kubernetes a zajišťuje konzistenci s požadovanou konfigurací.

Následující příklad Bicep ukazuje, jak vytvořit spravovaný obor názvů jako podsourc spravovaného clusteru. Nezapomeňte vybrat odpovídající hodnotu pro defaultNetworkPolicy, adoptionPolicya deletePolicy. Další informace o tom, co tyto parametry znamenají, najdete v přehledu spravovaných oborů názvů.

resource existingCluster 'Microsoft.ContainerService/managedClusters@2024-03-01' existing = {
  name: 'contoso-cluster'
}

resource managedNamespace 'Microsoft.ContainerService/managedClusters/managedNamespaces@2025-09-01' = {
  parent: existingCluster
  name: 'retail-team'
  location: location
  properties: {
    defaultResourceQuota: {
      cpuRequest: '1000m'
      cpuLimit: '2000m'
      memoryRequest: '512Mi'
      memoryLimit: '1Gi'
    }
    defaultNetworkPolicy: {
      ingress: 'AllowSameNamespace'
      egress: 'AllowAll'
    }
    adoptionPolicy: 'IfIdentical'
    deletePolicy: 'Keep'
    labels: {
      environment: 'dev'
    }
    annotations: {
      owner: 'retail'
    }
  }
}

Uložte soubor Bicep managedNamespace.bicep do místního počítače.

Nasaďte soubor Bicep pomocí Azure CLI.

az deployment group create --resource-group <resource-group> --template-file managedNamespace.bicep

Definování proměnných

Definujte následující proměnné, které se mají použít v následujících krocích.

RG_NAME=cluster-rg
CLUSTER_NAME=contoso-cluster
NAMESPACE_NAME=retail-team
LABELS="environment=dev"
ANNOTATIONS="owner=retail"

Vytvoření spravovaného oboru názvů

Pokud chcete přizpůsobit konfiguraci, mají spravované obory názvů různé možnosti parametrů, ze kterých si můžete během vytváření vybrat. Nezapomeňte vybrat odpovídající hodnotu pro ingress-network-policy, egress-network-policy, adoption-policya delete-policy. Další informace o tom, co tyto parametry znamenají, najdete v přehledu spravovaných oborů názvů.

az aks namespace add \
    --name ${NAMESPACE_NAME} \
    --cluster-name ${CLUSTER_NAME} \
    --resource-group ${RG_NAME} \
    --cpu-request 1000m \
    --cpu-limit 2000m \
    --memory-request 512Mi \
    --memory-limit 1Gi \
    --ingress-policy [AllowSameNamespace|AllowAll|DenyAll] \
    --egress-policy [AllowSameNamespace|AllowAll|DenyAll] \
    --adoption-policy [Never|IfIdentical|Always] \
    --delete-policy [Keep|Delete] \
    --labels ${LABELS} \
    --annotations ${ANNOTATIONS}

Přiřaďte roli

Po vytvoření oboru názvů můžete přiřadit jednu z předdefinovaných rolí řídicí roviny a roviny dat.

ASSIGNEE="user@contoso.com"
NAMESPACE_ID=$(az aks namespace show --name ${NAMESPACE_NAME} --cluster-name ${CLUSTER_NAME} --resource-group ${RG_NAME} --query id -o tsv)

Přiřaďte roli v řídicí rovině, abyste mohli zobrazit spravovaný obor názvů v portálu, ve výstupu Azure CLI a v Azure Resource Manageru. Tato role také umožňuje uživateli načíst přihlašovací údaje pro připojení k tomuto oboru názvů.

az role assignment create \
  --assignee ${ASSIGNEE} \
  --role "Azure Kubernetes Service Namespace User" \
  --scope ${NAMESPACE_ID}

Přiřaďte roli roviny dat, aby bylo možné získat přístup k vytváření prostředků v rámci oboru názvů pomocí rozhraní API Kubernetes.

az role assignment create \
  --assignee ${ASSIGNEE} \
  --role "Azure Kubernetes Service RBAC Writer" \
  --scope ${NAMESPACE_ID}

1. Přihlaste se do Azure Portalu.
2. Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek.
3. V části Kategorie vyberte Spravované obory názvů Kubernetes.
4. Na kartě Základy v části Podrobnosti projektu nakonfigurujte následující nastavení:
   1. Výběrem cílového clusteru vytvořte obor názvů.
   2. Pokud vytváříte nový obor názvů, ponechte výchozí možnost vytvořit nový. V opačném případě zvolte možnost Změnit existující pro správu a převeďte existující obor názvů.
5. Nakonfigurujte zásady sítě , které se použijí v oboru názvů.
6. Nakonfigurujte požadavky a omezení prostředků pro obor názvů.
7. Vyberte členy (uživatele nebo skupiny) a jejich roli.
   1. Přiřaďte roli uživatele oboru názvů služby Azure Kubernetes Service , abyste jim poskytli přístup k zobrazení spravovaného oboru názvů na portálu, výstupu Azure CLI a Azure Resource Manageru. Tato role také umožňuje uživateli načíst přihlašovací údaje pro připojení k tomuto oboru názvů.
   2. Přiřaďte roli Azure Kubernetes Service RBAC Writer , která jim poskytne přístup k vytváření prostředků v rámci oboru názvů pomocí rozhraní Kubernetes API.
8. Výběrem možnosti Zkontrolovat a vytvořit spusťte ověřování v konfiguraci. Po dokončení ověření vyberte Vytvořit.

Výpis spravovaných oborů názvů

Spravované obory názvů můžete zobrazit v různých oborech pomocí Azure CLI.

Úroveň předplatného

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v předplatném.

az aks namespace list --subscription <subscription-id>

Úroveň skupiny prostředků

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v konkrétní skupině prostředků.

az aks namespace list --resource-group <rg-name>

Úroveň clusteru

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v konkrétním clusteru.

az aks namespace list --resource-group <rg-name> --cluster-name <cluster-name>

Výpis spravovaných oborů názvů

Spravované obory názvů můžete zobrazit v různých oborech pomocí Azure CLI.

Úroveň předplatného

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v předplatném.

az aks namespace list --subscription <subscription-id>

Úroveň skupiny prostředků

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v konkrétní skupině prostředků.

az aks namespace list --resource-group <rg-name>

Úroveň clusteru

Spuštěním následujícího příkazu zobrazte seznam všech spravovaných oborů názvů v konkrétním clusteru.

az aks namespace list --resource-group <rg-name> --cluster-name <cluster-name>

Připojení ke clusteru

Přihlašovací údaje pro připojení k oboru názvů můžete načíst pomocí následujícího příkazu.

az aks namespace get-credentials --name <namespace-name> --resource-group <rg-name> --cluster-name <cluster-name>

Připojení ke clusteru

Přihlašovací údaje pro připojení k oboru názvů můžete načíst pomocí následujícího příkazu.

az aks namespace get-credentials --name <namespace-name> --resource-group <rg-name> --cluster-name <cluster-name>

Další kroky

Tento článek se zaměřuje na použití funkce spravovaných oborů názvů k logické izolaci týmů a aplikací. Můžete dále prozkoumat další mantinely a osvědčené postupy, které se použijí prostřednictvím bezpečnostních opatření nasazení.