Kubernetes多租户实践

最新推荐文章于 2024-06-28 14:54:59 发布
最新推荐文章于 2024-06-28 14:54:59 发布
阅读量961 收藏 19
点赞数 17
文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuff100/article/details/135769219
版权

由于namespace本身的限制,Kubernetes对多租户的支持面临很多困难,本文梳理了K8S多租户支持的难点以及可能的解决方案。原文: Multi-tenancy in Kubernetes

alt

是否应该让多个团队使用同一个Kubernetes集群?

是否能让不受信任的用户安全的运行不受信任的工作负载?

Kubernetes支持多租户吗?

本文将探讨支持多租户的集群所面临的挑战。

多租户可以分为:

  1. 软多租户(Soft multi-tenancy) 适用于租户是可信任的情况,例如同一公司的团队共享集群时。
  2. 硬多租户(Hard multi-tenancy) 适用于租户不可信的情况。

实践中也可能是混合模式!

alt

在租户之间共享集群的基本构建块是命名空间(namespace)。

名称空间对资源进行逻辑分组 —— 不提供任何安全机制,也不能保证所有资源都部署在同一节点中。

alt

命名空间中的pod仍然可以与集群中的所有其他pod通信,向API发出请求,并使用尽可能多的资源。

开箱即用,任何用户都可以访问任何命名空间。

如何阻止访问呢?*

通过RBAC,可以限制用户和应用程序可以使用的命名空间或在命名空间内做什么。[1]

常见操作是向有限的用户授予权限。

alt

使用Quota[2]LimitRanges[3],可以限制在命名空间中部署的资源以及可用的内存、CPU等。

如果想限制租户对其命名空间的操作,这是个好主意。

alt

默认情况下,所有pod都可以与Kubernetes中的任何pod通信。

但这并不适用于多租户,可以用NetworkPolicies[4]来纠正这个问题。

NetworkPolicies类似于防火墙规则,可以隔离出站和入站流量。

alt

很好,命名空间现在安全了吗?

别急。

基于RBAC、NetworkPolicies、Quota等作为多租户的基本构建块还是不够。

Kubernetes还有几个共享组件。

Ingress控制器就是一个很好的例子,通常在每个集群中只会部署一个。

如果提交具有相同路径的Ingress清单,最后一个会覆盖之前的定义,并且只有这一个才会生效。

alt

更好的方法是为每个命名空间部署一个控制器。

另一个有趣的挑战是CoreDNS。

如果某个租户滥用DNS怎么办?

集群的其余部分也将受到影响。

可以用一个额外的插件[https://github.com/coredns/policy](CoreDNS external plugin)来限制请求。

alt

Kubernetes API服务器也面临同样的挑战。

Kubernetes不知道租户,如果API接收到太多请求,将会触发全局流控。

我不知道是否有解决办法!

alt

如果进一步考虑共享资源,那么kubelet和工作负载也存在挑战。

正如Philippe Bogaerts提到的[5],租户可以通过liveness探针接管集群中的节点。

这也不容易解决。

alt

可以将扫描器(linter)作为CI/CD的一部分,或者用准入控制器(admission controller)来验证提交给集群的资源是否安全。

这里是Open Policy Agent的库和规则。[6]

alt

还有隔离机制比虚拟机更弱的容器。

Lewis Denham-Parry在这段视频中展示了如何从容器中逃逸。[7]

如何解决这个问题?

可以用gVisor这样的容器沙箱,或者用轻型虚拟机作为容器(Kata Containerfirecracker-containerd)或完整的虚拟机(virtlet作为CRI[8])。

alt

希望你已经意识到这个主题的复杂性,以及在Kubernetes中为隔离网络、工作负载和控制器提供严格的边界是多么困难。

这就是为什么不建议在Kubernetes中提供硬多租户[9]的原因。

如果需要硬多租户,建议使用多集群或集群即服务(Cluster-as-a-Service)工具。

如果可以容忍较弱的多租户模型,以换取简单性和便利性,那么可以推出RBAC、Quota等规则。

还有一些工具可以把这些问题抽象出来:

最后,如果对这个话题感兴趣,可以进一步参考以下资源:

你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。为了方便大家以后能第一时间看到文章,请朋友们关注公众号"DeepNoMind",并设个星标吧,如果能一键三连(转发、点赞、在看),则能给我带来更多的支持和动力,激励我持续写下去,和大家共同成长进步!

参考资料
[1]

Limiting access to Kubernetes resources with RBAC: https://learnk8s.io/rbac-kubernetes

 [2]

Resource Quotas: https://kubernetes.io/docs/concepts/policy/resource-quotas

 [3]

Limit Ranges: https://kubernetes.io/docs/concepts/policy/limit-range

 [4]

Kubernetes Network Policy Recipes: https://github.com/ahmetb/kubernetes-network-policy-recipes

 [5]

Exploiting applications using liveness probes in Kubernetes: https://xxradar.medium.com/exploiting-applications-using-livenessprobes-in-kubernetes-cdff6329d320

 [6]

OPA Gatekeeper Library: https://github.com/open-policy-agent/gatekeeper-library

 [7]

What vulnerabilities? Live hacking of containers and orchestrators - Lewis Denham-Parry: https://www.youtube.com/watch?v=JaMJJTb_bEE

 [8]

virtlet: https://github.com/Mirantis/virtlet

 [9]

Hard Multi-Tenancy in Kubernetes: https://blog.jessfraz.com/post/hard-multi-tenancy-in-kubernetes

 [10]

Learn Kubernetes Weekly: https://learnk8s.io/learn-kubernetes-weekly

本文由 mdnice 多平台发布

俞凡 DeepNoMind
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
《深入剖析Kubernetes》总结九:容器网络
07-09 488
容器网络总览 Linux 容器“网络栈”实际上是被隔离 在它自己的 Network Namespace 当中的,其包括了:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则; 对于一个进程来说,这些要素构成了它发起和响应网络请求的基本环境 容器可以声明直接使用宿主机的网络栈,但是会引入共享网络资源的问题,比如端口冲突,所以一般希望容器进程能使用自己 Network Namespace 里的网络栈,即拥有属于自
腾讯会议大规模使用Kubernetes的技术实践1
08-03
6. **多租户与配额管理**:支持多租户环境,通过Multi-tenant和quota管理确保公平且高效的资源分配。 7. **其他组件**:包括ProblemDetector用于问题检测,DynamicQuotaManager进行动态配额管理,...
kubernetes的多租户管理实践
rendongxingzhe的博客
09-08 1855
kubernerte通过RBAC实现用户的权限控制,分项目分人员赋权
36 为什么说Kubernetes只有soft multi-tenancy?.pdf
09-18
36 为什么说Kubernetes只有soft multi-tenancy?.pdf
java工程积累——saas之multi-tenancy解析
ESOO
03-30 5133
最近做的项目涉及到比较深入的一部分,就是定义客户关系,在我们的商讨中,我们决定,采用服务商的模式,就是我们是基础服务商,由客户组合服务,向客户提供基于云端的服务支持!
什么是多租户(Multi-tenant)
热门推荐
每一点星光,都是一个来自其他世界的问候
05-04 2万+
在这个“云”山雾罩的时代,“多租户”是一个重要的概念,无论是公有云还是私有云,多租户的支持是必须的
网易云容器服务基于Kubernetes实践探索
01-27
【网易云容器服务基于Kubernetes实践探索】 Kubernetes,由Google基于其内部Borg系统经验于2014年创建,是当前容器编排领域的领先者,旨在为大规模集群管理提供解决方案。Kubernetes设计初衷是为了私有云市场,常...
高欣 - 基于Kubernetes的DevOps实践之路.zip
10-03
最后,作者可能还会探讨一些高级话题,比如Kubernetes的安全性和可扩展性,以及如何在多租户环境下管理资源。他可能会介绍Kubernetes的网络策略、RBAC(Role-Based Access Control)权限管理和Secrets管理。 总的来...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
综上所述,"kubernetes-security-best-practice" 提供的这些实践旨在帮助管理员从多个层面确保Kubernetes环境的安全性,涵盖身份验证、网络控制、资源管理、镜像安全、敏感信息保护、更新维护、监控告警以及安全设计...
kubernetes笔记.rar
05-30
- **Namespace**:逻辑上划分资源,实现多租户环境。 2. **Kubernetes架构** - **Master节点**:管理整个集群,包括API服务器、etcd(持久化数据存储)、调度器和控制器管理器。 - **Worker节点**:执行任务,...
k8s virtual cluster 虚拟集群多租户解决方案
qq_18730155的博客
12-22 2347
Kubernetes租户vcluster解决方案 云平台 容器化 k8s 多租户
Kubernetes租户管理与资源控制
qq_39458487的博客
05-05 664
namespace设计解读 namespace是Kubernetes进行多租户资源隔离的主要手段,那么它在系统中的表现形式是什么样的?实现原理和使用方法又是怎样的呢? 什么是namespace namespace是一个将Kubernetes的资源对象进行细分的类似于DNS子域名的概念。namespace能够帮助不同的租户共享一个Kubernetes集群。Kubernetes引人namespace的目的包括以下几点: 建立一种简单易用,能够在逻辑上对Kubernetes资源对象进行隔离的机制。 将资
Kubernetes租户简介
u012516914的专栏
12-29 941
什么是多租户? 在不同租户之间共享应用程序或软件的单个实例的想法称为多租户。自云环境兴起以来,这种方法非常流行。现在,随着 Kubernetes 的引入,开发人员和管理员需要在 Kuber...
程序人生 - (002)
qq_46058838的博客
06-28 686
作为一名程序员,在编程和软件开发的过程中,通常会有一些深刻的感悟和体会。这些感悟不仅仅是关于技术的,也包括对工作的态度、职业的发展和人生的理解。:程序员的职业发展不仅仅是技术的进步,还包括软技能的提升,比如沟通能力、项目管理能力和领导能力。程序员需要适应变化,愿意尝试和学习新的东西,保持对行业的敏感度。因此,找到工作与生活的平衡点,保证身心健康,也是非常重要的。每一次失败都是一次学习的机会,通过不断试错和调整,最终能够找到解决问题的方法。面对复杂的代码和难解的问题,只有坚持下去,才能最终找到解决方案。
基于豪猪优化算法CPO-VMD实现信号去噪目标函数为包络信息熵 包络熵 排列熵 样本熵最小附matlab代码.rar
最新发布
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的毕业生信息招聘平台(包含全套源码 + 数据库sql + 论文).zip
07-19
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
Matlab实现鱼鹰优化算法OOA-CNN-LSTM-Multihead-Attention温度预测附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的餐厅点餐系统(包含全套源码 + 数据库sql + 论文).zip
07-19
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
石油巨头的Kubernetes与DevOps实践:构建微服务与容器云平台
K8s保证了环境的一致性,简化了部署架构的复杂性,通过租户体系实现了资源的隔离,支持多租户场景,确保了不同部门或项目的独立性。同时,借助安全管理体系,可以在DevOps流程中保障数据和操作的安全。 DevOps是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

俞凡 DeepNoMind

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值