不同安全区域内使用防火墙隔离，遵照企业的主机网络隔离策略，开通需要业务访问的端口；同一安全区域内多个集群之间没有安全隔离；单个集群内部使用namespace和NetworkPolicy隔离。

和容器云使用的CNI插件有关，一般是network policy策略控制，但有些网络插件不支持

租户的网络隔离：租户之间的网络是三层隔离的，即使通过VR也无法通信，若需要通信必须走物理网络一个租户内的不同网络之间二层隔离的，需要通过 VR 做三层连通一个网络内的不同子网也是二层隔离的，需要通过 VR 做三层连通外部网络的隔离：Neutron提供数据网络与外部网络的隔离性，默...

理论上可以实现，如果是网络存储的话，比如nas或者iscsi san。新的分布式存储就更不用说了。但是需要注意一个问题：性能。网闸的吞吐量都比较有限，而且一般是摆渡机的架构，实时性和性能很可能是个问题。如性能和延迟要求较高的场景，网闸可能无法满足要求，或者能适配的网闸比新买...

VMware虚拟机的备份目前已经有很多完善的备份解决方案１、使用VMware原厂组件-VDP２、使用Veeam3、使用第三方的CDP4、使用传统备份软件--如NBU、CV等此外，通过这些备份解决方案，去备份虚拟机，都是不需要停机的，而且可以做到增量，实时等要求。还可以进一步采用硬件+软件的重删技术...

这个主要看公司对网络安全的要求和成本的平衡。a 方案每个区都部署一套集群的话，安全性高，但成本高，包括资源成本及维护成本等。b 方案成本低，也能满足一定的隔离要求开发测试环境一般更偏向于使用b方案，k8s/openshift网络支持多租户，能实现软隔离，及通过给节点作标记Label，定...

金融机构通常会在内部网络划分很多网络隔离区，隔离区之间通过硬件防火墙隔离。容器环境也应该遵循这种要求，比如一个容器集群只部署在一个网络隔离区内，不跨区部署。这样就不会突破网络安全的要求。在使用overlay网络模型下，容器网络安全最大的挑战之一是出方向的访问关系无...

容器的隔离是软隔离，网络策略基本依靠iptables完成（通过k8s管理的）应用安全等级高的 可以采用物理网络隔离，硬件隔离（防火墙，硬件网络），网络完全不共享应用安全等级中等的，可以采用vxlan（看看是否需要多租户的网络隔离），在四层网络协议下做网络隔离（四层port 三层ip，二层vlan）应用安全...

云管理平台如果设计的比较完善的话 会使用 分层架构portal 只是页面操作 业务层在做资源分配处理 中间会添加 mq 消息队列消息会发送到 执行的 厂商接口比如 vmware的pyvmomi接口封装 ,或者java vsphere client接口封装只要在不同网络部署一个接口层能连接到mq就可...

我们网络设计的最初期就是打算把财务相关业务的服务器和客户机全部隔离，让客户机只能和财务服务器通讯，无法访问其他互联网资源的，不过并没有得到上层领导的支持。理由是财务人员需要上网办公，搞两套机器投资大，操作不方便。这个事情我印象深刻，很多时候我们的安全问题来源于管...