如何在信创容器云平台的多命名空间区域之间,做好网络、资源的隔离设计
抛开信创因素,原生容器本身就可以基于命名空间进行网络和资源隔离。另外,各家容器厂商都会针对原生的隔离能力之上,或多或少有一定增强,如:可视化操作、策略粒度更细等。
返回到信创环境下,上述的策略需要与基于不同芯片架构的资源池进行联动。比如,X86、ARM的镜像、应用、资源要能相互对应上。可以参考将X86架构、ARM架构分别建立容器资源池。
网络方面,可以采用不同的node放置在不同的计算域,分别使用不同出口的技术来实现业务网隔离,资源隔离同样采用k8s的调度技术实现不同业务采用不同node节点来实现硬件资源独占。在逻辑隔离上, 可以采用租户+namespace的方式实现,租户作为配额的实体,一个租户可以包括不同命名空间,多个明明空间共享一套配额,也可以采用商业产品来实现权限的细粒度隔离。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30