不同等级的应用在icp中如何实现安全隔离和避免资源的争用?

容器云的安全发展总体上是比较滞后的。
比如说docker在cgroup和namespace上做了很多工作，一定层面上完成了隔离，但是还有部分资源是容器共享的，比如proc下面的数据等等。
容器编排层面也有类似的问题，针对关键的信息通信很多都没有加密。
传统意义上的安全软件，比如防篡改软件等等目前看还没有跟上容器云发展的脚步，出现了一定的滞后。

在编排系统中可以使用limit来限定自身应用的资源需求，尽可能避免同一节点上的资源争抢，另外对于特定的一些模块，可以使用一些节点的Taint和亲和性设定（k8s）等来让workload做到节点一级的隔离。
对于安全，在微服务化的时代要求每个微服务都实现安全是非常重的一种方式。如果能通过边车的方式如Istio来前置一个反向代理做鉴权和加密是更合适的方案。