Kaj so imenski prostori na SSD-ju in kako se uporabljajo v Linuxu?

Ko se zares začneš vživeti shranjevanje moderno, NVMe in LinuxNormalno je, da se počutimo nekoliko preobremenjeni: imenski prostori, particije, LVM, vsebniki, Kubernetes ... Zdi se, kot da vse uporablja isto besedo, vendar ne pomeni vedno iste stvari. Tukaj se bomo osredotočili na to, kaj so. imenski prostori na NVMe SSD-juVideli bomo, kako izgledajo v Linuxu, in ker se izraz ponovno uporablja, bomo videli tudi, kako se imenski prostori ujemajo z jedrom Linuxa in Kubernetes, da jih ne boste več zamenjevali.

Ideja je zgraditi celovito sliko: iz tega, kaj se fizično dogaja znotraj NVMe SSD-ji z ​​logičnimi imenskimi prostori, vključno s tem, kako so v Linuxu izpostavljene kot naprave /dev/nvme0n1 in kako jih upravljamo z orodji, kot so nvme-cliIn končno bomo obravnavali koncept imenskih prostorov na sistemski ravni (IPC, PID, omrežje itd.) in v orkestratorjih, kot je Kubernetes. Vse to bo predstavljeno na praktičen, dostopen način in predvsem brez kakršnih koli nedorečenih vprašanj.

Kaj točno je imenski prostor na NVMe SSD-ju?

V tehnologiji NVMe je imenski prostor dobesedno niz logičnih blokovnih naslovov. (LBA, logični blokovni naslovi), ki jih operacijski sistem vidi kot neodvisno blokovno napravo. Ne gre za ločen fizični del NAND-a, temveč za ločitev Logika znotraj SSD-ja.

Ko proizvajalec konfigurira disk, krmilnik NVMe organizira bliskovni pomnilnik v enega ali več imenskih prostorov. Vsak je označen z NSID (ID imenskega prostora) Krmilnik je odgovoren za to, da gostiteljskemu sistemu predstavi te imenske prostore. Vsak imenski prostor je sistemu predstavljen kot neodvisen cilj, kar omogoča, da se en sam SSD sistemu prikaže kot več različnih "diskov".

V Linuxu se vsak imenski prostor prikaže kot blokovna naprava tipa /dev/nvmeXnYkjer je X indeks krmilnika (na primer 0) in Y ID imenskega prostora (na primer 1). Torej, /dev/nvme0n1 Označuje »NVMe krmilnik 0, imenski prostor 1«. Ta naprava lahko ravnajte z njim kot s katerim koli drugim diskomLahko se razdeli, formatu, dodajte v LVM, uporabite kot surovi volumen itd.

Pomembna podrobnost je, da v večini enot, Privzeto obstaja en sam imenski prostor, katerega velikost zajema vso uporabno kapaciteto SSD-ja. Vendar pa vam standard NVMe omogoča, da izbrišete ta imenski prostor in jih ponovno ustvarite več, vsak s svojo velikostjo in določenimi lastnostmi, kot so na primer določena oblika LBA ali posebne varnostne politike.

Velikost, zmogljivost in uporaba imenskega prostora NVMe

Standard NVMe definira strukturo, imenovano Določite imenski prostor ki vsebuje več ključnih metrik: velikost, zmogljivost in izkoriščenost vsakega imenskega prostora. Do teh informacij lahko dostopate z orodji, kot so nvme-cli z uporabo ukaza nvme id-ns in tudi s programi za diagnosticiranje trdih diskov in SSD-jev.

Znotraj te strukture izstopajo tri ključna področja: NSZE, NCAP in NUSEDobro razumevanje le-teh je ključnega pomena za nadzor nad dejansko uporabo prostora znotraj vsakega imenskega prostora in za to, kako se enota odziva na logične operacije brisanja (TRIM ali Dealocate).

Polje Velikost imenskega prostora (NSZE) Označuje skupno število logičnih blokov, ki sestavljajo imenski prostor, oštevilčenih od LBA 0 do LBA n-1. To je, tako rekoč, nominalna velikost imenskega prostora: število naslovov blokov, ki jih gostitelj vidi kot razpoložljive, ne glede na to, ali so interno dodeljeni ali ne.

Polje Zmogljivost imenskega prostora (NCAP) To označuje največje število blokov, ki jih lahko naprava dejansko dodeli v danem trenutku. Čeprav se morda zdi enako kot NSZE, se ne ujema nujno: zmogljivost je lahko manjša od uradne velikosti imenskega prostora, kar odpira vrata naprednim tehnikam upravljanja prostora in notranjemu prekomernemu zagotavljanju.

Končno, polje Uporaba imenskega prostora (NUSE) To odraža, koliko logičnih blokov je trenutno dodeljenih. Po polnem formatiranju mora biti NUSE enak nič; med zapisovanjem podatkov se ta vrednost poveča in ponovno zmanjša šele, ko sistem pošlje ukaze za sprostitev blokov (TRIM ali Deallocate). Ta indikator je zelo uporaben za aplikacije in sisteme, ki morajo vedeti, ali naprava pravilno obravnava zahteve za sprostitev prostora.

Format blokov in druge zmogljivosti imenskega prostora

Poleg velikosti in uporabe je vsak imenski prostor opisan tudi z ukazom Prepoznajte, katere formate LBA podpira, katere velikosti blokov so optimalne in ali ima dodatne funkcije, kot so celovita zaščita ali različne varnostne načine. Te informacije uporablja OS in aplikacije za prilagajanje velikosti operacij branja/pisanja in polno izkoriščanje prednosti strojna oprema.

En sam SSD lahko sprejme enega ali več Formati LBA (na primer 4 KiB, 8 KiB itd.). V nekaterih modelih morajo vsi imenski prostori imeti isto obliko zapisa; v drugih ima lahko vsak imenski prostor drugačno velikost bloka. To je še posebej uporabno pri kombiniranju različnih delovnih obremenitev, kjer je en imenski prostor optimiziran za vhodno/izhodne operacije z majhnimi datotekami, drug pa za velika zaporedna branja.

Identifikacijska struktura tudi označuje, ali imenski prostor podpira informacije o zaščiti (Protection Information, PI), torej dodatni metapodatki, ki omogočajo preverjanje celovitosti podatkov vzdolž celotne poti, od aplikacije do NAND-a, kar zmanjšuje verjetnost tihe korupcije.

Poudariti je treba, da En sam imenski prostor je lahko povezan z enim ali več krmilniki NVMe znotraj istega podsistema. Če je povezan samo z enim krmilnikom, se imenuje zasebni imenski prostor; če je povezan z več krmilniki, se imenuje skupni imenski prostor. Ta prilagodljivost je bistvena v okoljih z visoko razpoložljivostjo in shranjevalnih poljih NVMe-oF (NVMe over Fabrics).

Upravljanje imenskih prostorov: ustvarjanje, brisanje in povezovanje

Specifikacija NVMe vključuje dve veliki skupini ukazov za upravljanje imenskih prostorov: Upravljanje y združenje (Priloga)S prvim lahko ustvarjate, spreminjate in brišete imenske prostore; z drugim pa jih lahko pripnete ali odklopite od enega ali več krmilnikov podsistema.

Tipičen potek je naslednji: najprej gostitelj Ustvarite imenski prostor z želenimi parametri (velikost, kapaciteta, format LBA itd.). Na tej točki imenski prostor še ni viden operacijskemu sistemu kot blokovna naprava. Da se prikaže, je treba izvesti ukaz. pripisujejoki ga poveže z določenim krmilnikom ali več. Po ponastavitev Ne glede na to, ali gre za krmilnik ali ponovno odkritje, ga bo sistem sčasoma razkril kot napravo /dev/nvmeXnY.

Lahko pa sledite tudi obratni poti: prekiniti povezavo z obstoječim imenskim prostorom iz njegovih krmilnikov, da ga nehajo izpostavljati gostitelju in ga nato popolnoma izbrišejo. To se običajno stori, ko želite ponovno ustvariti porazdelitev imenskih prostorov na enoti, na primer za spremembo odstotka prekomernega zagotavljanja ali za reorganizacijo dodelitve med različnimi najemniki.

V Linuxu je referenčno orodje za to nvme-cliZ njim lahko naštejete imenske prostore (nvme list), preverite podrobnosti z ukazom Identify, ustvarite nove imenske prostore (nvme create-ns), priložite jih (nvme attach-ns), ločite jih (nvme detach-ns) in jih izbrišite (nvme delete-nsTe operacije običajno zahtevajo skrbniške pravice in jih je treba skrbno načrtovati, saj vključujejo znatne spremembe postavitve enote. Poleg tega je priporočljivo posodabljajte vdelano programsko opremo.

Pri delu z več imenskimi prostori na istem pogonu se običajno uporablja zasebni imenski prostori za izolirana okolja (na primer določen gostitelj) in skupni imenski prostori Za bolj kompleksne arhitekture, kjer več gostiteljev usklajeno dostopa do istih podatkov prek podsistema NVMe-oF.

Zakaj razdeliti NVMe SSD na več imenskih prostorov?

Morda se zdi, da je najpreprostejša rešitev pustiti SSD z enim samim imenskim prostorom, ki zasede celotno kapaciteto, vendar obstajajo tehtni razlogi za ustvarjanje več imenskih prostorov. Med najpogostejšimi so: logična ločitev strank, izboljšana varnost in natančna nastavitev zmogljivosti in vzdržljivosti.

V scenarijih več najemnoNa primer, pri ponudnikih storitev v oblaku ali velikih platformah lahko en sam fizični SSD gosti podatke več odjemalcev. Z uporabo imenskih prostorov vsak najemnik dobi svoj izolirani "logični disk". To močno poenostavi upravljanje, obračunavanje in načrtovanje SLA, ne da bi bilo treba fizično particionirati NAND.

Drug pogost razlog je varnost in šifriranje po imenskih prostorihŠtevilni pogoni NVMe, združljivi z OPAL, omogočajo določanje pravilnikov šifriranja za obsege LBA. Če delate z enim samim imenskim prostorom, lahko znotraj njega konfigurirate več zaščitenih obsegov; če pa ustvarite ločene imenske prostore za različne nabore podatkov, lahko za vsak imenski prostor uporabite različne ključe in pravila šifriranja, usklajena s stopnjo občutljivosti vsakega nabora podatkov.

Obstaja tudi primer okolja z zelo različnimi zahtevami glede zmogljivosti na istem računalniku. En imenski prostor je lahko rezerviran za kritično bazo podatkov z visokim odstotkom prekomernega zagotavljanja, da se zmanjša zakasnitev in izboljša odpornost, medtem ko drug imenski prostor služi za manj V/I podatke. Ta ločitev pomaga preprečiti, da bi hrupna delovna obremenitev poslabšala izkušnjo bolj občutljive baze podatkov.

Poleg tega imenski prostori omogočajo uporabite pravilnike samo za branje do pomembnih podatkov, na primer vgrajenega operacijskega sistema ali slike škorenj v mobilnih izdelkih, okoljih z visoko stopnjo varnosti ali industrijskih sistemih. NVMe lahko imenski prostor označi kot začasno samo za branje (do naslednjega vklopa/izklopa napajanja), dokler se zaklepanje ne odstrani in se pogon ponovno zažene, ali pa ga celo trajno pusti v načinu samo za branje za celotno življenjsko dobo pogona.

Prekomerno omogočanje in natančna nastavitev po imenskih prostorih

SSD-ji vedno interno rezervirajo določeno količino bliskovnega pomnilnika, ki ni vidna sistemu in se uporablja kot prekomerno zagotavljanje prostora za interna opravila, kot so zbiranje smeti, odpravljanje obrabe in upravljanje slabih blokov. Vendar pa lahko skrbnik s prilagajanjem velikosti imenskih prostorov vpliva na to, koliko NAND-a ostane nedodeljenega gostitelju in je zato na voljo kot notranja rezerva.

Če ustvarite imenski prostor, ki je bistveno manjši od skupne količine fizičnega pomnilnika flash, gostitelju ostane večji del pomnilnika neizpostavljen. Bolj ko je naprava preobremenjena, boljša je običajno stabilnost delovanja. in večjo odpornost v ciklih pisanja, kar je bistveno pri intenzivnih pisnih obremenitvah.

Na primer, predstavljajte si 7,68 TB SSD, ki je definiran z uporabnim imenskim prostorom približno 6,14 TBPreostanek ostane skrit pred gostiteljem in se doda v medpomnilnik za prekomerno oskrbovanje. Z orodji, kot so nvme-cli Prejšnje imenske prostore je mogoče izbrisati, jih ponovno ustvariti z želeno velikostjo in jih ponovno pritrditi na krmilnike, da dosežete točno ta učinek.

Eden od izzivov v tem procesu je pravilna prilagoditev velikost in granularnost zmogljivosti imenskega prostoraStandard določa, da se tako NSZE kot NCAP obravnavata v enotah, ki se ne ujemajo nujno z velikostjo logičnega bloka, kar lahko povzroči majhne dele nenaslovljivega pomnilnika, če vrednosti niso izbrane skrbno. Cilj je čim bolj zmanjšati ta "zapravljeni" prostor, da bo imenski prostor čim bolj zaokrožen.

Med ustvarjanjem imenskega prostora je treba upoštevati naslednje: omejitve naprav poroča sama naprava. S prilagajanjem vrednosti NSZE in NCAP na podlagi teh dejavnikov je mogoče zagotoviti, da je skoraj ves fizični pomnilnik pravilno izkoriščen, bodisi kot prostor, ki je dostopen gostitelju, bodisi kot notranje prekomerno zagotavljanje, koristno za krmilnik.

Imenski prostori, particije Linuxa, LVM in bližnjica blokov

Z vidika Linuxa se vsak imenski prostor NVMe prikaže kot tip osnovne blokovne naprave /dev/nvme0n1Od tam se lahko skrbnik odloči, kako ga bo uporabljal: ga bo pustil neparticioniranega za neposredni V/I, ga particioniral kot klasični disk ali pa ga integriral v LVM ali druge sisteme za upravljanje nosilcev podatkov.

Ko so v tem imenskem prostoru ustvarjene particije, jih jedro razkrije kot /dev/nvme0n1p1, /dev/nvme0n1p2itd. Pripona »p« označuje, da gre za particijo imenskega prostora, tako kot je /dev/sda1 particija /dev/sda. Na te particije je mogoče priklopiti datotečne sisteme in jih uporabljati v LVM, programski RAID itd.

Če je tisto, kar iščete izpostaviti "surovo" blokovno shranjevanje Pri neposrednem dostopu do baze podatkov ali porazdeljenega sistema za shranjevanje je običajno delo z napravo imenskega prostora brez particij ali z namensko particijo, vendar brez datotečnega sistema na njej. V teh primerih aplikacija običajno komunicira neposredno v smislu logičnih blokov in upravlja svoj notranji prostor.

Opozoriti je treba, da Razdelitev imenskega prostora, ki je že v uporabi, s particijami ni trivialna. brez vpliva na podatke. Za spreminjanje postavitve imenskega prostora je običajni postopek varnostno kopiranje informacij, odklop, brisanje imenskega prostora in njegova ponovna izdelava z želeno velikostjo, kar v produkcijskih okoljih zahteva skrbno načrtovanje.

Kar zadeva dovoljenja, je blokovna naprava brez datotečnega sistema nadzorovana, tako kot katero koli drugo vozlišče v /dev, skozi lastnik, skupina in način dostopaPoleg tega se lahko uporabljajo ACL-ji, pravila udev in mehanizmi za nadzor dostopa do sistema (npr. posebne skupine za dostop do diska) za odločanje, kateri uporabniki ali storitve lahko berejo in pišejo v imenski prostor ali eno od njegovih particij.

Imenski prostori jedra Linuxa: izolacija sistemskih virov

Beseda imenski prostor se ne uporablja le v kontekstu NVMe. Jedro Linuxa ponuja mehanizem z istim imenom, vendar usmerjen v izolirajte sistemske vire za proceseTa funkcionalnost je osnova tehnologij, kot so Dockerjevi kontejnerji, Podman, LXC ali Flatpak in peskovniki z mehurčkasto ovojnico.

V tem primeru imenski prostor ovije globalni vir (točke priklopa, omrežni sklad, PID-e, uporabnike, ime gostitelja, ure itd.) v abstrakcijo, ki procesom, ki se nahajajo v njem, omogoči, da vidijo njegov lasten izoliran primerek tega vira. Spremembe, narejene znotraj tega imenskega prostora, so vidne samo procesom, ki si delijo isti imenski prostor.

Linux trenutno podpira več vrst imenskih prostorov: cgroup, ipc, mnt (mount), net, pid, uporabnik, uts in časVsak od njih izolira določen vidik sistema. Na primer, imenski prostor omrežja omogoča, da ima vsebnik lastne vmesnike in usmerjevalne tabele, medtem ko mu imenski prostor PID daje lastno oštevilčenje procesov, ki se začne pri 1.

Če želite preveriti, katerim imenskim prostorom pripada določen proces, preprosto poglejte simbolne povezave v /proc/<PID>/ns/Vsaka povezava kaže na identifikator imenskega prostora, ki si ga lahko delijo z drugimi procesi (če so v istem prostoru) ali pa je drugačen (če ima izolirano okolje).

Orodja kot mehurčkasta folija (bwrap)Metode, ki jih uporablja Flatpak, se zanašajo prav na te mehanizme. Bwrap ustvari peskovnike z zagonom procesov z ločenimi imenskimi prostori za mount, PID, uporabnika, omrežje itd., tako da aplikacija deluje v omejenem okolju, kjer vidi le vire, ki so ji bili dodeljeni.

Praktični poskusi z ukazoma unshare in nsenter

Če želite eksperimentirati z imenskimi prostori Linuxa, ne da bi nameščali kaj nenavadnega, imate na voljo sistemske ukaze, kot so unshare y nsenterZelo so uporabni za razumevanje, kaj se dogaja v ozadju, ko izvajate vsebnike ali aplikacije tipa "sandbox".

z unshare Nov proces lahko zaženete z enim ali več izoliranimi imenskimi prostori: na primer lupino, ki ima svoj nabor PID-ov in uporabnikov. Pri zagonu z možnostmi, kot so –user, –pid in –forkPridobili boste sejo, v kateri proces, ki se izvaja znotraj, vidi PID 1 kot svojega in se poleg tega izvaja z drugim uporabnikom (na primer nihče), kar poudarja to izolacijo.

V teh okoljih je pomembno vzpostaviti /proc novo in izolirano z uporabo možnosti –mount-procČe tega ne storite, nekatere pripomočke, ki so od tega odvisni, ne bodo mogli pravilno delovati. /proc/<PID>/exe Lahko ne uspejo, ker poskušajo ogledati informacije o procesu na podlagi imenskega prostora gostitelja, jedro pa blokira ta dostop, da ohrani varnostno izolacijo.

Prav tako je treba opozoriti, da če unshare ni usa –viliceUkaz bi lahko izvedel znotraj istega procesa in povzročil nenavadne napake, kot je nezmožnost priklopa /proc ustrezno ali napake pri dodeljevanju pomnilnika, ker proces ne prevzame pravilne vloge PID 1 znotraj novega imenskega prostora.

Poleg tega nsenter Naredi ravno obratno: omogoča vam, da "vstopite" v imenske prostore obstoječega procesa. To se običajno naredi za pregled, kako vsebnik ali aplikacija Flatpak vidi svet z gostitelja. Ko ste enkrat notri, lahko pregledate njegov omrežni sklad, točke priklopa, notranjo tabelo procesov in tako naprej, kot da bi bili "znotraj" vsebnika.

Imenski prostori in vsebniki: od Flatpaka do Podmana in Dockerja

Ko enkrat razumete imenske prostore jedra, je enostavno videti, kako Kontejnerji niso čarovnija, temveč sestava več primitivov: imenski prostori za izolacijo virov, kontrolne skupine za omejevanje porabe, zmogljivosti za nadzor privilegijev in večplastni datotečni sistemi za pakiranje aplikacij.

Flatpak uporablja mehurček za ustvarjanje izoliranih okolij za namizne aplikacije. Vsaka aplikacija se izvaja v naboru imenskih prostorov, kjer so poti, do katerih lahko dostopa, vidnost procesov, dostop do omrežja itd. omejeni. Na ravni procesov je jasno, da se PID-ji, točke priklopa in pogosto uporabnik razlikujejo od tistih v gostiteljskem sistemu.

Podobno tudi orodja, kot so LXC, Docker ali Podman Sestavljajo različne imenske prostore za gradnjo splošnonamenskih vsebnikov. Na primer, vsebnik brez korenskih dostopov lahko uporablja uporabniški imenski prostor za preslikavo notranjih ID-jev na neprivilegirane ID-je na gostitelju in omrežni imenski prostor za namenske virtualne vmesnike. Analiziranje ID-ja procesa vsebnika na gostitelju in vnos z nsenterTo izolacijo je mogoče preveriti iz prve roke.

V primerih, ko želite lažje ustvariti imenske prostore »brez korenov«, lahko uporabite orodja, kot so brezrootni kompletki pomagajo konfigurirati vse potrebne nastavitve, tako da lahko uporabnik brez privilegijev ustvari izolirana okolja brez neposrednega dostopa do koren, kar je v sodobnih večuporabniških okoljih vse bolj iskano.

Imenski prostori v Kubernetes: logični virtualni grozdi

Izraz imenski prostor se ponovno pojavi v Kubernetesu, vendar se tukaj nanaša na logični mehanizem za segmentacijo virov znotraj ene same gručeNima nobene zveze z naslovi blokov NVMe ali izolacijo na ravni jedra, čeprav se konceptualno uporablja tudi za ločevanje in organizacijo.

V Kubernetesu je imenski prostor kot virtualna gruča znotraj fizične gručeUporablja se za združevanje virov (podov, storitev, uvajanj itd.), tako da jih lahko upravljajo in izolirajo ekipe, projekti ali okolja (razvoj, testiranje, produkcija), ne da bi bilo treba vzpostaviti več pravih grozdov.

Ti imenski prostori omogočajo obstoj virov z isto ime v različnih kontekstihNa primer, morda imate storitev z imenom moja-storitev v imenskem prostoru razvoj in še enega z istim imenom v proizvodnja brez konfliktov, ker je edinstvenost zagotovljena le znotraj vsakega imenskega prostora.

Poleg tega so imenski prostori Kubernetes integrirani z RBAC (nadzor dostopa na podlagi vlog)Možno je določiti dovoljenja, ki omejujejo, kateri uporabniki ali računi storitev lahko ustvarjajo, spreminjajo ali berejo vire v danem imenskem prostoru, kar močno olajša varno delegiranje med različnimi ekipami ali organizacijami, ki si delijo infrastrukturo.

Drug ključni del je kvote virovKubernetes vam omogoča, da z imenskim prostorom omejite količino procesorja, pomnilnika, objektov (kot so podi) in drugih virov, ki jih lahko porabijo delovne obremenitve. To preprečuje, da bi en sam projekt porabil celotno gručo, in spodbuja bolj predvidljivo in pravično uporabo virov.

Praktično delovanje imenskih prostorov v Kubernetes

V novo nameščeni gruči Kubernetes običajno privzeto ustvari več imenskih prostorov: privzeto, kube-sistem in kube-javnoPrvi se uporablja za vire, ki ne določajo imenskega prostora; drugi je namenjen notranjim sistemskim komponentam; tretji, dostopen tudi nepreverjenim uporabnikom, je rezerviran za določene elemente, ki jih je treba javno brati na ravni gruče.

Za ogled razpoložljivih imenskih prostorov lahko uporabite kubectl get namespaces ali njegovo okrajšavo. Od tam lahko skrbnik ustvarjanje in brisanje imenskih prostorov po potrebi, običajno po organizacijski strategiji, ki temelji na projektu ali okolju (na primer dev, uprizoritev, prod).

Ko se ukaz zažene z kubectlCiljni imenski prostor je mogoče začasno določiti z možnostjo –imenski prostorLahko pa konfigurirate privzeti kontekst, ki vse operacije usmerja na določen imenski prostor, kar prihrani napake in vam prepreči, da bi morali v vsakem ukazu vnašati možnost.

Kar zadeva DNS, Kubernetes registrira storitve z uporabo popolnoma kvalificiranega domenskega imena (FQDN), kot je ta: . .svc.cluster.localZnotraj istega imenskega prostora zadostuje zgolj uporaba imena storitve, za ostalo pa bo poskrbela razrešitev DNS. Če pa želite dostopati do storitve v drugem imenskem prostoru iz podstavka v enem imenskem prostoru, morate uporabiti popolnoma kvalificirano ime domene (FQDN) ali delno ime, ki vključuje vsaj storitev in imenski prostor.

Vsi objekti Kubernetes ne živijo znotraj imenskega prostora. Sami imenski prostori, vozlišča ali trajne nosilce podatkov To so viri na ravni gruče in niso enkapsulirani znotraj imenskega prostora. To je pomembno za razumevanje, kateri viri so logično segmentirani in kateri veljajo za globalne.

Na splošno je priporočljivo začeti uporabljati imenske prostore, ko Grozd že ima precejšnje število uporabnikov in aplikacijali ko potrebujete jasno izolacijo med ekipami. Za manjše razlike (kot so različice aplikacij) je običajno bolje uporabiti oznake znotraj istega imenskega prostora, kot pa nepotrebno množiti število imenskih prostorov.

Če vse te dele združimo – imenske prostore v NVMe SSD-jih za segmentacijo blokovnih naslovov, imenske prostore jedra za izolacijo procesnih virov in imenske prostore v Kubernetes za logično organizacijo virov gruče – vidimo, da se ista beseda ponovno uporablja za povezane ideje: ustvarite ločene domene znotraj skupnega prostoraVsak s svojo vizijo in pravili. Razumevanje, na kateri plasti se nahajate v danem trenutku, je tisto, kar loči urejen sistem od tistega, ki ga je nemogoče vzdrževati.