2同行回答
抛开信创因素,原生容器本身就可以基于命名空间进行网络和资源隔离。
另外,各家容器厂商都会针对原生的隔离能力之上,或多或少有一定增强,如:可视化操作、策略粒度更细等。
返回到信创环境下,上述的策略需要与基于不同芯片架构的资源池进行联动。比如,X86、ARM的镜像、应用、资源要能相互对应上。可以参考将X86架构、ARM架构分别建立容器资源池。
收起网络方面,可以采用不同的node放置在不同的计算域,分别使用不同出口的技术来实现业务网隔离,资源隔离同样采用k8s的调度技术实现不同业务采用不同node节点来实现硬件资源独占。在逻辑隔离上, 可以采用租户+namespace的方式实现,租户作为配额的实体,一个租户可以包括不同命名空间,多个明明空间共享一套配额,也可以采用商业产品来实现权限的细粒度隔离。
收起浏览876