Kubernetes 的名字空间并不是一个实体对象，只是一个逻辑上的概念。它可以把集群切分成一个个彼此独立的区域，然后我们把对象放到这些区域里，就实现了类似容器技术里 namespace 的隔离效果，应用只能在自己的名字空间里分配资源和运行，不会干扰到其他名字空间里的应用。

 Kubernetes面对大规模集群、海量节点时的一种现实考虑。因为集群很大、计算资源充足，会有非常多的用户在 Kubernetes 里创建各式各样的应用，可能会有百万数量级别的 Pod，这就使得资源争抢和命名冲突的概率大大增加了，情形和单机 Linux 系统里是非常相似的。

把集群给适当地“局部化”，为每一类用户创建出只属于它自己的“工作空间”。

Kubernetes 初始化集群的时候也会预设 4 个名字空间：default、kube-system、kube-public、kube-node-lease。我们常用的是前两个，default 是用户对象默认的名字空间，kube-system 是系统组件所在的名字空间，相信你对它们已经很熟悉了。

名字空间的资源配额需要使用一个专门的 API 对象，叫做 ResourceQuota，简称是 quota，我们可以使用命令 kubectl create 创建一个它的样板文件：

export out="--dry-run=client -o yaml"
kubectl create quota dev-qt $out

因为资源配额对象必须依附在某个名字空间上，所以在它的 metadata 字段里必须明确写出 namespace（否则就会应用到 default 名字空间）。

在 ResourceQuota 里可以设置各类资源配额，字段非常多。

• CPU 和内存配额，使用 request.*、limits.*，这是和容器资源限制是一样的。
• 存储容量配额，使 requests.storage 限制的是 PVC 的存储总量，也可以用 persistentvolumeclaims 限制 PVC 的个数。
• 核心对象配额，使用对象的名字（英语复数形式），比如 pods、configmaps、secrets、services。
• 其他 API 对象配额，使用 count/name.group 的形式，比如 count/jobs.batch、count/deployments.apps。

很小但很有用的辅助对象了—— LimitRange，简称是 limits，它能为 API 对象添加默认的资源配额限制。

• spec.limits 是它的核心属性，描述了默认的资源限制。
• type 是要限制的对象类型，可以是 Container、Pod、PersistentVolumeClaim。
• default 是默认的资源上限，对应容器里的 resources.limits，只适用于 Container。
• defaultRequest 默认申请的资源，对应容器里的 resources.requests，同样也只适用于 Container。
• max、min 是对象能使用的资源的最大最小值。

1、名字空间是一个逻辑概念，没有实体，它的目标是为资源和对象划分出一个逻辑边界，避免冲突。

2、ResourceQuota 对象可以为名字空间添加资源配额，限制全局的 CPU、内存和 API 对象数量。

3、LimitRange 对象可以为容器或者 Pod 添加默认的资源配额，简化对象的创建工作。

此文章为7月Day23学习笔记，内容来源于极客时间《Kubernetes入门实战课》，推荐该课程。