容器云平台内部集群的网络隔离问题？

• 不同安全区域内使用防火墙隔离，遵照企业的主机网络隔离策略，开通需要业务访问的端口；
• 同一安全区域内多个集群之间没有安全隔离；
• 单个集群内部使用namespace和NetworkPolicy隔离。

1   容器云平台的建设，通常是采用分层模式规划设计的。

---   面向应用的管理平面，是统一的一个，实际在生产环境、开发测试环境是单独且不同的二个管理平台。 
---   容器云平台是需要纳管多个K8S集群，也就是一个管理平台对应有多个K8S集群控制平面。不同的K8S集群视其部署的网络分区所在，网络分区之间会有防火墙。也即管理平面和K8S 集群控制平面中间是有防火墙。
--- 业务POD平面：容器云平台是集中管控模式下，业务应用系统通常是以命名空间进行隔离的。也即一个业务POD平面，逻辑上是由多个K8S集群中的多个命名空间组成的。所以视K8S集群部署所在的网络分区不同，业务POD平面中也有防火墙。

2   同一个安全区域内的多个集群之间的安全隔离性，需要看各个单位的IAAS、基础网络的情况而定。譬如K8S集群只使用传统的Underlay网络，在同一网络分区（或可称同一安全区域），集群之间是不加防火墙。 另外譬如在overlay网络的VPC环境中，根据管控半径或K8S用户群隔离的要求的话，不同K8S集群部署在不同的VPC中，则集群之间就有VPC的安全隔离性了。

3  硬件防火墙隔离，通常用在容器云平台的管理平面和在不同的网络分区间的 集群控制平面之间的访问。  而启用network-policy 指的是在一个K8S集群中， 实现业务pod平面的安全隔离性。

单个集群内部的多种业务pod之间目前从原生k8s来看还没有比较好的方式，而且与使用的网络插件有关，这块我们的思路是看一些新兴的安全厂商在这块的一些解决方案。有一些从技术原理上看还不错。