网络拓扑规划时,建议把不同租户的容器运行在各自不同的虚拟网络VLAN中,并为不同的VLAN设置必须的防火墙规则、关闭相关的路由来保证不同租户的业务在网络上隔离。建议容器平台为不同的租户分配各自专属的、不同的资源池,租户只能在属于自己的宿主机上运行自己的容器应用。这...
显示全部网络拓扑规划时,建议把不同租户的容器运行在各自不同的虚拟网络VLAN中,并为不同的VLAN设置必须的防火墙规则、关闭相关的路由来保证不同租户的业务在网络上隔离。
建议容器平台为不同的租户分配各自专属的、不同的资源池,租户只能在属于自己的宿主机上运行自己的容器应用。这虽然导致了资源利用率的降低,但在根本上回避了容器运行依赖共享宿主机内核、隔离性天生不如虚拟机的局限,这和主要基于虚拟机的IaaS平台对多租户隔离的做法不同。
收起