容器云平台主要分集群控制平面、管理平面和业务pod平面,各平面之间有无用防火墙隔离?各安全区域之间的不同集群用防火墙隔离,那么在同一个安全区域内的多个集群之间、单个集群内部的多种业务pod之间怎么做安全隔离?如需隔离一般依据什么原则?采用硬件防火墙隔离还是network-policy等等?
--- 面向应用的管理平面,是统一的一个,实际在生产环境、开发测试环境是单独且不同的二个管理平台。
--- 容器云平台是需要纳管多个K8S集群,也就是一个管理平台对应有多个K8S集群控制平面。不同的K8S集群视其部署的网络分区所在,网络分区之间会有防火墙。也即管理平面和K8S 集群控制平面中间是有防火墙。
--- 业务POD平面:容器云平台是集中管控模式下,业务应用系统通常是以命名空间进行隔离的。也即一个业务POD平面,逻辑上是由多个K8S集群中的多个命名空间组成的。所以视K8S集群部署所在的网络分区不同,业务POD平面中也有防火墙。