管理集群和工作集群本身就隔离的，应用部署使用不同的名称空间自然也是隔离的，如果一味地追求安全，那便利性就会存在问题，比如服务端口的暴露，云上云下的网络开通等，所以没有绝对的好的或者安全的方案，综合平衡就好，绝对的安全也是有代价的

1  建议对集群做一下规划，譬如部署在DMZ区、内网区、办公区中应用系统的安全要求是不同的。

2 对单集群，启用命名空间的机制隔离不同租户的资源。

3 对集群的管理权限严格控制，防止重要凭证泄露造成非法变更集群的策略。

4  网络流量一般对南北流量可延用传统安全，以及IAAS的VPC能力进行控制，东西流量在内网环境通常不限制。

5 是否启用K8S的 网络 策略(Network Policy）策略，需要综合评估单位的安控要求，上述措施有效性、团队的运维能力和管理成本再决策。