Kubernetes多租户集群实践

如何解决多租户集群的安全隔离问题是企业上云的一个关键问题，本文主要介绍kubernetes多租户集群的基本概念和常见应用形态，以及在企业内部共享集群的业务场景下，基于kubernetes原生和ACK集群现有安全管理能力快速实现多租户集群的相关方案。

什么是多租户集群？

这里首先介绍一下"租户"，租户的概念不止局限于集群的用户，它可以包含为一组计算，网络，存储等资源组成的工作负载集合。而在多租户集群中，需要在一个集群范围内（未来可能会是多集群）对不同的租户提供尽可能的安全隔离，以最大程度的避免恶意租户对其他租户的攻击，同时需要保证租户之间公平地分配共享集群资源。

在隔离的安全程度上，我们可以将其分为软隔离(Soft Multi-tenancy)和硬隔离（Hard Multi-tenancy）两种。其中软隔离更多的是面向企业内部的多租需求，该形态下默认不存在恶意租户，隔离的目的是为了内部团队间的业务保护和对可能的安全攻击进行防护；而硬隔离面向的更多是对外提供服务的服务供应商，由于该业务形态下无法保证不同租户中业务使用者的安全背景，我们默认认为租户之间以及租户与k8s系统之间是存在互相攻击的可能，因此这里也需要更严格的隔离作为安全保障。关于多租户的不同应用场景，在下节会有更细致的介绍。

多租户应用场景

下面介绍一下典型的两种企业多租户应用场景和不同的隔离需求：

1）企业内部共享集群的多租户

该场景下集群的所有用户均来自企业内部，这也是当前很多k8s集群客户的使用模式，因为服务使用者身份的可控性，相对来说这种业务形态的安全风险是相对可控的，毕竟老板可以直接裁掉不怀好意的员工：）根据企业内部人员结构的复杂程度，我们可以通过命名空间对不同部门或团队进行资源的逻辑隔离，同时定义以下几种角色的业务人员：

• 集群管理员：

  • 具有集群的管理能力（扩缩容、添加节点等操作）
  • 负责为租户管理员创建和分配命名空间
  • 负责各类策略（RAM/RBAC/networkpolicy/quota...）的CRUD

• 租户管理员

  • 至少具有集群的RAM只读权限
  • 管理租户内相关人员的RBAC配置

• 租户内用户

  • 在租户对应命名空间内使