Kubernetes Multitenancy-我们是azure企业客户，希望将特定于AKS命名空间的日志提取到日志分析中

关于Kubernetes（AKS）多租户的问题-我们是azure企业客户，希望将特定于AKS命名空间的日志提取到日志分析中，请建议实现此目的的最佳方法

多租赁的一个重要方面是在同一时间拥有多租赁 kubernetes集群之上的层–这样您的DevOps和开发人员 可以有一个或多个属于不同用户或团队的集群 组织内的用户。这个概念并没有融入到我们的生活中 库伯内特斯本人。Platform9通过添加一层 通过“区域”和 “租户”。平台9中的区域映射到地理位置。A. 租户可以属于多个区域。可以指定一组用户 访问一个或多个租户。在租户中，用户组 可以创建一个或多个群集，这些群集将被隔离并可访问 仅适用于该租户内的用户。这就提供了对 不同团队和部门的关注点

我建议您在特定名称空间之间创建块通信。 许多Kubernetes部署允许名称空间之间的网络通信。如果需要支持多个租户，则需要更改此选项，以便为每个命名空间添加隔离

可以使用网络策略执行此操作。下面是一个示例网络策略文件，它将阻止来自外部名称空间的通信：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: block-namespace-traffic-example
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}

创建文件后，使用以下命令应用：

$ kubectl apply -f example-network-policy.yaml -n=your-namespace

对于AKS，日志分析可能是您选择的日志聚合器。您需要一种将容器日志导出到日志分析的方法。但是，如果您正在运行自己的集群，或者甚至使用另一个云提供商，并且仍然希望使用日志分析，那么它就不是那么简单了。这就是为什么越来越多的人在使用

看看有用的文章：

---

如果有帮助，请告诉我。

来自AKS群集的日志消息存储在所有命名空间的同一个表集中，因此不允许您限制对具有特定命名空间值的记录的访问

我可以设想两种基于名称空间名称分隔日志的方法：

为每个租户开发一个前端页面（或调整其中一个），并使用预定义的返回数据填充该页面，预定义的返回数据根据名称空间值过滤消息。这样，每个租户将只获得与其自己的命名空间相关的日志消息

为每个命名空间实现独立于Azure services的EFK部署，并将日志发送到同一命名空间中的日志聚合器。这样，每个租户都可以通过配置自己的Kibana仪表盘来控制想要查看的数据类型和格式

---

普罗米修斯要存储日志，但要存储度量。

定义“最佳”？我希望日志根据名称空间进行隔离，azure monitor将所有具有所有名称空间的群集日志刷新到一个日志分析工作区中，我希望避免这样做。普罗米修斯（Prometheus）是我需要寻找的工具吗？我正试图通过与多个客户共享一个集群来实现多租户，这些客户在不同的名称空间中托管应用程序，我希望在日志级别上隔离每个客户的名称空间。应用程序所有者，即不同的团队，应该只查看他们拥有的名称空间的日志。我已经使用AAD和RBAC启用了poc集群，创建了名称空间管理YAML，它允许使用我在AAD中创建的RBAC AAD组访问这些名称空间。我通过rolebindingsi实现的现在希望日志根据名称空间进行隔离，azure monitor将所有具有所有名称空间的集群日志刷新到一个日志分析工作区中，我希望避免这样做。普罗米修斯是我需要寻找的工具吗？你能编辑你的问题并粘贴这些环境规范吗。？