Kubernetes定名空间是“虚拟化”Kubernetes集群的一种内置方法。虽然目前尚无人讨论如何使用定名空间以及在何处使用定名空间，但是如果没有网络范畴内的定名空间断绝能力，集群虚拟化将无法完成。

Tungsten Fabric Kubernetes CNI插件包孕对isolated定名空间的撑持。部署到断绝的定名空间中的应用措施无法访谒其地址的定名空间之外的任何Pod，其他定名空间的应用措施也无法访谒它的Pod和Services。

使用场景

一种Kubernetes的部署要领，是每个开发团队部署单独的Kubernetes集群，在这种情况下，集群虚拟化和定名空间断绝几乎没有好处。

但是，由于未使用的容量是零散的，因此该要领可能导致资源使用效率低下。每个集群都有本身的可用容量，其他集群中运行的应用措施无法使用这些可用容量。别的，跟着集群数量的增加，它引入了连结统一所需要的操纵开销。最后，启动新集群需要花费时间，这可能会使工作变慢。

定名空间是解决这些问题的好要领，因为这有助于减少集群的数量，共享备用容量并且可以快速创建。这还可以供给一个断绝级别，根本架构团队将卖力集群的打点，而各个开发人员团队则在本身的定名空间中进行操纵。

在措置惩罚惩罚集群虚拟化时，需要解决三个问题：
（1）谁可以访谒虚拟集群（RBAC）；
（2）每个虚拟集群可以使用几多计算资源；
（3）虚拟集群中的应用措施允许哪些网络通信。

用于Kubernetes的Tungsten Fabric CNI插件旨在通过本节将要讨论的定名空间断绝以及下一节将介绍的网络计谋来解决问题（3）。从规则遵从性的角度来看，这出格有用。PCI合规性就是一个很好的例子，因为它鼓励事情负载断绝。

当寻求实现PCI合规性时，重点存眷的范围之一是缩小范畴。范畴缩小的目的是断绝所有可能影响信用卡信息措置惩罚惩罚的系统，这些系统被称为“持卡人数据环境”（Cardholder Data Environment，CDE）。

任何事情负载或设备，都可以以任何方法与属于CDE的系统进行交互。网络分段对付实现所需的断绝至关重要，以减少为PCI合规性而考虑的系统数量。

Kubernetes定名空间和根本的容器化平台Kubernetes编排器，可供给减少容器化事情负载的PCI范畴所需的计算断绝。Kubernetes还供给了有关存储断绝的解决方案的一部分。但是，Kubernetes当前没有为此目的供给足够的网络断绝或查抄。

用于Kubernetes的Tungsten Fabric CNI插件不只供给了Kubernetes感知定名空间的网络断绝成果，还使打点团队能够通过控制网络成果虚拟化（NFV）实例的流量来查抄所有进入或分开定名空间的网络流量。这使得下面的情况称为可能：按照必需被允许进出断绝CDE的通信类型的要求，来调解数据流查抄的级别。

让我们来看一个使用Kubernetes定名空间进行网络断绝的示例。在此用例中，我们将部署示例应用措施的两个副本，一个副本部署到默认定名空间中，另一个部署到一个新的断绝定名空间中。然后，我们将看到Tungsten Fabric如何实施网络通信断绝，如下图所示：

添加断绝的定名空间

在开始之前，有须要快速浏览Kubernetes文档页面，该页面解释了如何使用定名空间，包孕我们需要知道的命令。

全部完成后，确保您位于沙箱控制节点上，以root用户身份登录，并且位于正确的目录中：

#确认您是root账户
whoami | grep root || sudo -s

#切换到清单目录
cd /home/centos/yelb/deployments/platformdeployment/Kubernetes/yaml

接下来，创建一个新清单，以描述我们新的断绝定名空间：

这将创建一个名为dev-isolated.yaml的文件，它包孕以上内容。请注意annotations部分——这将报告Tungsten Fabric断绝新的定名空间。

继续创建该定名空间，，并向Kubernetes配置文件添加相关内容，以便我们可以访谒它：
#创建新的定名空间：
kubectl create -f dev-isolated.yaml

让我们快速浏览一下新的定名空间：

注意Annotations字段；这向Tungsten Fabric CNI插件发出信号，它需要以差此外方法看待此定名空间。