Security 我能否在多个DevOps产品团队之间安全地共享k8s群集？

在同一k8s集群上，是否有一种安全的方式与不同的产品DevOps团队协作？如何在团队之间隔离工作负载？我知道有k8s rbac和名称空间可用，但运行不同的prod工作负载安全吗？我知道这一点，但据我所知，对我的苏达西问题没有直接的答案。我们如何处理同一集群中不同团队的不同入口配置？如果无法安全地隔离工作负载，如何协调k8s群集以减少维护

---

非常感谢

答案是：视情况而定。首先，默认情况下Kubernetes并不是不安全的，容器提供了一个基本的抽象层。更好的问题是：

• 你需要多少隔离
• 用户管理是什么
• 您是否需要加密工作负载之间的通信

隔离级别

如果您需要在工作负载之间实现强大的隔离（我的意思是真正强大的隔离），请帮自己一个忙，使用不同的集群。在某些业务案例中，您可能需要保证不允许在同一台（虚拟）计算机上运行某种工作负载。您还可以尝试通过添加仅用于其中一个子项目的节点来实现这一点，并使用亲缘关系和反亲缘关系来处理调度。但是，如果需要这种级别的隔离，您可能会在考虑日志聚合、度量或在您拥有跨所有服务使用的组件的任何时候遇到问题

对于任何其他用例：构建一个集群并按名称空间划分。您甚至可以创建一对只属于您的一个团队的入口控制器

用户管理

手动管理RBAC和用户可能有点棘手。库伯内特斯本人。如果您已经将OIDC用于SSO或类似用途，则可以重新使用令牌对Kubernetes中的用户进行身份验证。我从来没有使用过这个，所以我不能告诉你关于使用OIDC的角色映射

另一个解决方案是Rancher或另一个集群编排工具。我说不出另一个，但Rancher内置了用户管理。您还可以创建项目，以便为一个访问者对多个名称空间进行分组

流量加密

---

通过使用Istio或Linkedr等服务网格，您可以加密播客之间的流量。即使加密您的工作负载听起来很诱人，也要弄清楚您是否真的需要它。服务网格有一些缺点，例如资源使用。此外，您还有一个组件需要管理和更新。

答案是：这取决于具体情况。首先，默认情况下Kubernetes并不是不安全的，容器提供了一个基本的抽象层。更好的问题是：

• 你需要多少隔离
• 用户管理是什么
• 您是否需要加密工作负载之间的通信

隔离级别

如果您需要在工作负载之间实现强大的隔离（我的意思是真正强大的隔离），请帮自己一个忙，使用不同的集群。在某些业务案例中，您可能需要保证不允许在同一台（虚拟）计算机上运行某种工作负载。您还可以尝试通过添加仅用于其中一个子项目的节点来实现这一点，并使用亲缘关系和反亲缘关系来处理调度。但是，如果需要这种级别的隔离，您可能会在考虑日志聚合、度量或在您拥有跨所有服务使用的组件的任何时候遇到问题

对于任何其他用例：构建一个集群并按名称空间划分。您甚至可以创建一对只属于您的一个团队的入口控制器

用户管理

手动管理RBAC和用户可能有点棘手。库伯内特斯本人。如果您已经将OIDC用于SSO或类似用途，则可以重新使用令牌对Kubernetes中的用户进行身份验证。我从来没有使用过这个，所以我不能告诉你关于使用OIDC的角色映射

另一个解决方案是Rancher或另一个集群编排工具。我说不出另一个，但Rancher内置了用户管理。您还可以创建项目，以便为一个访问者对多个名称空间进行分组

流量加密

通过使用Istio或Linkedr等服务网格，您可以加密播客之间的流量。即使加密您的工作负载听起来很诱人，也要弄清楚您是否真的需要它。服务网格有一些缺点，例如资源使用。此外，还有一个组件需要管理和更新