直接调用 clientset.CoreV1().Namespaces().Create() 和 Delete() 即可创建/删除 Namespace;需确保 Name 合法(小写字母、数字、连字符,≤63 字符,非保留名),删除卡住时检查 finalizer 并 patch 清空。
如何用 client-go 创建和删除 Namespace
直接调用 clientset.CoreV1().Namespaces() 的 Create 和 Delete 方法即可,不需要额外 CRD 或控制器。关键在于 Namespace 对象的 ObjectMeta.Name 必须合法(小写字母、数字、连字符,且不能以连字符开头或结尾,长度 ≤63)。
常见错误:传入空字符串、含下划线、超长名、或使用保留名(如 default、kube-system)导致 422 Unprocessable Entity 错误。
- 创建时必须设置
ObjectMeta.Name,其他字段可为空 - 删除时只需传入名称,
DeleteOptions可设为&metav1.DeleteOptions{} - 若需等待删除完成,需轮询
Get并检查DeletionTimestamp是否非空
namespace := &corev1.Namespace{
ObjectMeta: metav1.ObjectMeta{
Name: "my-app-prod",
},
}
_, err := clientset.CoreV1().Namespaces().Create(context.TODO(), namespace, metav1.CreateOptions{})
为什么 Namespace 的 Labels 和 Annotations 不能随便改
Namespace 的 Labels 和 Annotations 虽然支持更新,但部分 label(如 kubernetes.io/metadata.name)是系统自动生成且只读;修改它们会触发 API Server 拒绝,报错 Forbidden: field is immutable。
真实场景中,常有人想用 label 控制资源配额或网络策略,结果在 Patch 或 Update 时带上整个 ObjectMeta,意外覆盖了系统字段。
立即学习“go语言免费学习笔记(深入)”;
- 更新应使用
Patch(StrategicMergePatchType或JSONPatchType),只传 diff 字段 - 避免用
Get → 修改 → Update流程,容易丢失ResourceVersion或混入只读字段 - 建议用
clientset.CoreV1().Namespaces().Patch更新 label/annotation,不碰UID、CreationTimestamp等
Namespace 删除卡住(Terminating)怎么查和解
执行 Delete 后状态长期为 Terminating,通常是因为存在 finalizer(如 kubernetes.io/pv-protection、kubernetes.io/service-account-token)未被清理,或有活跃的子资源(如 Service、Pod)阻止回收。
不能直接删 etcd 数据,但可通过 patch 强制移除 finalizer —— 这是调试阶段的可行手段,生产环境需先排查依赖。
- 用
kubectl get ns my-ns -o yaml查看finalizers字段内容 - 用
kubectl patch ns my-ns -p '{"metadata":{"finalizers":[]}}' --type=merge清空 finalizer(对应 Go 中用Patch发送 JSON Merge Patch) - Go 代码中建议先调用
clientset.CoreV1().Namespaces().DeleteCollection清理子资源(如Pods、Services),再删 Namespace
用 Go 批量管理 Namespace 时要注意并发与限速
批量创建/删除几十个 Namespace 时,如果并发无节制,容易触发 API Server 的速率限制(429 Too Many Requests),尤其在集群启用了 APF(API Priority and Fairness)时更敏感。
client-go 默认不带并发控制,rest.Config.QPS 和 Burst 是全局连接参数,不等于单个操作的并发数。
- 批量操作务必加限速:用
semaphore库或errgroup.WithContext+time.Sleep控制 goroutine 数量 - 对每个
Create/Delete操作设置独立context.WithTimeout,防止某个卡死拖垮整体 - 注意
ResourceVersion冲突:并发更新同一 Namespace 的 label 可能因旧版本被拒绝,需重试逻辑
最易被忽略的是:Namespace 删除不是原子操作,子资源清理延迟可能导致后续同名创建失败(即使 namespace 已消失),建议加短延时或轮询确认子资源清空后再继续。
