Felügyelt névterek használata az Azure Kubernetes Service-ben (AKS)

A következőkre vonatkozik: ✔️ AKS Automatic ✔️ AKS Standard

Az Azure Kubernetes Service (AKS) felügyelt névterei lehetővé teszik a számítási feladatok és csapatok logikai elkülönítését a fürtön belül. Ez a funkció lehetővé teszi a rendszergazdák számára az erőforráskvóták kikényszerítését, a hálózati házirendek alkalmazását és a hozzáférés-vezérlés kezelését a névtér szintjén. A felügyelt névterek részletes áttekintését a felügyelt névterek áttekintésében találja.

Mielőtt hozzákezdene

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Ha nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat fiókot.
• Az Azure-környezetben szükség van egy AKS-fürtre, amely beállítva van Azure szerepköralapú hozzáférés-vezérléssel a Kubernetes-engedélyezés érdekében, ha Azure RBAC szerepköröket kíván használni.
• A hálózati házirend funkció használatához az AKS-fürtöt hálózati házirendmotorral kell konfigurálni. A Cilium az ajánlott motorunk.

Előfeltétel	Jegyzetek
Azure CLI	2.80.0 vagy újabb telepítése. A parancssori felület verziójának megkereséséhez futtassa a következőt az --version: . Ha telepítenie vagy frissítenie kell, tekintse meg az Azure CLI telepítését.
Az AKS API verziója	2025-09-01 vagy újabb.
Szükséges engedély(ek)	Microsoft.ContainerService/managedClusters/managedNamespaces/* vagy Azure Kubernetes Service Namespace Contributor beépített szerepkört. Microsoft.Resources/deployments/* a fürtöt tartalmazó erőforráscsoporton. További információ: Felügyelt névterek beépített szerepkörök.

Korlátozások

• A rendszernévterek( például kube-system, , app-routing-systemistio-system, gatekeeper-systemstb.) felügyelt névterekbe való bevezetésével kapcsolatos próbálkozások nem engedélyezettek.
• Ha egy névtér felügyelt névtér, a rendszer letiltja a névtér módosítását a Kubernetes API-val.

• A portálon konvertálandó meglévő névterek felsorolása nem működik privát fürtökkel. Új névtereket is hozzáadhat.

Felügyelt névtér létrehozása fürtön és felhasználók hozzárendelése

Megjegyzés:

Felügyelt névtér létrehozásakor egy rendszerösszetevőt telepítenek a fürtre, amely összhangba hozza a névteret az Azure Resource Manager állapotával. Ez az összetevő blokkolja a Kubernetes API felügyelt mezőinek és erőforrásainak módosítását, biztosítva a konzisztenciát a kívánt konfigurációval.

Az alábbi Bicep-példa bemutatja, hogyan hozhat létre felügyelt névteret felügyelt fürt segédforrásaként. Győződjön meg arról, hogy a megfelelő értéket defaultNetworkPolicyválasztja ki a , adoptionPolicyés deletePolicy. A paraméterek jelentéseiről további információt a felügyelt névterek áttekintésében talál.

resource existingCluster 'Microsoft.ContainerService/managedClusters@2024-03-01' existing = {
  name: 'contoso-cluster'
}

resource managedNamespace 'Microsoft.ContainerService/managedClusters/managedNamespaces@2025-09-01' = {
  parent: existingCluster
  name: 'retail-team'
  location: location
  properties: {
    defaultResourceQuota: {
      cpuRequest: '1000m'
      cpuLimit: '2000m'
      memoryRequest: '512Mi'
      memoryLimit: '1Gi'
    }
    defaultNetworkPolicy: {
      ingress: 'AllowSameNamespace'
      egress: 'AllowAll'
    }
    adoptionPolicy: 'IfIdentical'
    deletePolicy: 'Keep'
    labels: {
      environment: 'dev'
    }
    annotations: {
      owner: 'retail'
    }
  }
}

Mentse a managedNamespace.bicep Bicep fájlt a helyi számítógépre.

A Bicep-fájl üzembe helyezése az Azure CLI használatával.

az deployment group create --resource-group <resource-group> --template-file managedNamespace.bicep

Változók meghatározása

Adja meg a következő lépésekben használni kívánt változókat.

RG_NAME=cluster-rg
CLUSTER_NAME=contoso-cluster
NAMESPACE_NAME=retail-team
LABELS="environment=dev"
ANNOTATIONS="owner=retail"

A felügyelt névtér létrehozása

A konfiguráció testreszabásához a felügyelt névterek számos paraméterlehetőség közül választhatnak a létrehozás során. Győződjön meg arról, hogy a megfelelő értéket ingress-network-policyválasztja ki a , egress-network-policy, adoption-policyés delete-policy. A paraméterek jelentéseiről további információt a felügyelt névterek áttekintésében talál.

az aks namespace add \
    --name ${NAMESPACE_NAME} \
    --cluster-name ${CLUSTER_NAME} \
    --resource-group ${RG_NAME} \
    --cpu-request 1000m \
    --cpu-limit 2000m \
    --memory-request 512Mi \
    --memory-limit 1Gi \
    --ingress-policy [AllowSameNamespace|AllowAll|DenyAll] \
    --egress-policy [AllowSameNamespace|AllowAll|DenyAll] \
    --adoption-policy [Never|IfIdentical|Always] \
    --delete-policy [Keep|Delete] \
    --labels ${LABELS} \
    --annotations ${ANNOTATIONS}

Szerepkör hozzárendelése

A névtér létrehozása után hozzárendelheti a vezérlősík és az adatsík egyik beépített szerepkörét .

ASSIGNEE="user@contoso.com"
NAMESPACE_ID=$(az aks namespace show --name ${NAMESPACE_NAME} --cluster-name ${CLUSTER_NAME} --resource-group ${RG_NAME} --query id -o tsv)

Rendeljen hozzá egy vezérlősík-szerepkört, hogy megtekinthesse a felügyelt névteret a portálon, az Azure CLI kimenetét és az Azure Resource Managert. Ez a szerepkör azt is lehetővé teszi, hogy a felhasználó lekérje a hitelesítő adatokat a névtérhez való csatlakozáshoz.

az role assignment create \
  --assignee ${ASSIGNEE} \
  --role "Azure Kubernetes Service Namespace User" \
  --scope ${NAMESPACE_ID}

Rendeljen hozzá adatsík-szerepkört, hogy hozzáférést kapjon a névtérben lévő erőforrások létrehozásához a Kubernetes API használatával.

az role assignment create \
  --assignee ${ASSIGNEE} \
  --role "Azure Kubernetes Service RBAC Writer" \
  --scope ${NAMESPACE_ID}

1. Jelentkezzen be a Azure portalra.
2. Az Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget.
3. A Kategóriák szakaszban válassza a Felügyelt Kubernetes-névterek lehetőséget.
4. Az Alapszintű beállítások lapon, a Project részletei csoportban konfigurálja a következő beállításokat:
   1. Válassza ki a célfürtöt a névtér létrehozásához.
   2. Ha új névteret hoz létre, hagyja meg az alapértelmezett létrehozási újat, ellenkező esetben válassza a meglévő módosítást egy meglévő névtér konvertálásához.
5. Konfigurálja a névtérre alkalmazni kívánt hálózati házirendet .
6. Konfigurálja a névtér erőforrás-kéréseit és korlátait .
7. Válassza ki a tagokat (felhasználókat vagy csoportokat) és a szerepkörüket.
   1. Rendelje hozzá az Azure Kubernetes Szolgáltatásnévtér felhasználói szerepkörét, hogy hozzáférést biztosítson nekik a felügyelt névtér megtekintéséhez a portálon, az Azure CLI-kimenetben és az Azure Resource Managerben. Ez a szerepkör azt is lehetővé teszi, hogy a felhasználó lekérje a hitelesítő adatokat a névtérhez való csatlakozáshoz.
   2. Rendelje hozzá az Azure Kubernetes Service RBAC-író szerepkört, hogy hozzáférést biztosítson nekik a névtérben lévő erőforrások Kubernetes API-val való létrehozásához.
8. Válassza a Véleményezés + létrehozás lehetőséget az ellenőrzés futtatásához a konfiguráción. Az ellenőrzés befejezése után válassza a Létrehozás gombot.

Felügyelt névterek listázása

Az Azure CLI használatával különböző hatókörökben listázhatja a felügyelt névtereket.

Előfizetési szint

Futtassa az alábbi parancsot az előfizetés összes felügyelt névterének listázásához.

az aks namespace list --subscription <subscription-id>

Erőforráscsoport szintje

Futtassa az alábbi parancsot egy adott erőforráscsoport összes felügyelt névterének listázásához.

az aks namespace list --resource-group <rg-name>

Fürtszint

Futtassa az alábbi parancsot egy adott fürt összes felügyelt névterének listázásához.

az aks namespace list --resource-group <rg-name> --cluster-name <cluster-name>

Felügyelt névterek listázása

Az Azure CLI használatával különböző hatókörökben listázhatja a felügyelt névtereket.

Előfizetési szint

Futtassa az alábbi parancsot az előfizetés összes felügyelt névterének listázásához.

az aks namespace list --subscription <subscription-id>

Erőforráscsoport szintje

Futtassa az alábbi parancsot egy adott erőforráscsoport összes felügyelt névterének listázásához.

az aks namespace list --resource-group <rg-name>

Fürtszint

Futtassa az alábbi parancsot egy adott fürt összes felügyelt névterének listázásához.

az aks namespace list --resource-group <rg-name> --cluster-name <cluster-name>

Csatlakozzon a klaszterhez

Az alábbi paranccsal lekérheti a hitelesítő adatokat egy névtérhez való csatlakozáshoz.

az aks namespace get-credentials --name <namespace-name> --resource-group <rg-name> --cluster-name <cluster-name>

Csatlakozzon a klaszterhez

Az alábbi paranccsal lekérheti a hitelesítő adatokat egy névtérhez való csatlakozáshoz.

az aks namespace get-credentials --name <namespace-name> --resource-group <rg-name> --cluster-name <cluster-name>

Következő lépések

Ez a cikk a felügyelt névterek funkció használatával foglalkozott a csapatok és alkalmazások logikai elkülönítésére. További biztonsági réseket és ajánlott eljárásokat is megismerhet, amelyeket üzembe helyezési védelmekkel alkalmazhat.