Namespace 只是隔离起点
Namespace 可以划分资源视图,但并不能自动隔离网络、节点、镜像、密钥和运维操作。多租户集群需要在命名空间之上继续配置 RBAC、NetworkPolicy、ResourceQuota、LimitRange 和安全基线。
不同团队、环境和业务等级应有不同隔离策略。生产环境、高敏数据业务和外部接入服务,不应与普通测试负载使用完全相同的权限模型。
- 命名空间分组
- 权限边界
- 环境分级
身份和权限要最小化
RBAC 应按照角色授予最小权限,避免把 cluster-admin 权限扩散给应用团队。ServiceAccount、Secret、ConfigMap 和命名空间操作都需要有明确边界。
建议将集群用户与企业身份系统集成,并开启审计日志,记录谁在什么时间对哪些资源执行了什么操作,为故障追踪和合规检查提供依据。
- RBAC 最小权限
- ServiceAccount 分离
- 操作审计
网络隔离需要显式策略
在默认互通的集群中,一个业务的 Pod 可能直接访问另一个业务的服务。多租户场景建议使用默认拒绝策略,再按服务依赖显式放行入口和出口流量。
对数据库、中间件、管理端和跨环境访问,应增加更严格的网络策略和访问审计,减少横向移动风险。
- 默认拒绝
- 按依赖放行
- 敏感服务重点保护
资源与供应链安全同样重要
ResourceQuota 和 LimitRange 可以避免单个租户抢占过多 CPU、内存和存储资源。对关键业务,还应配合节点亲和、污点容忍和优先级策略,保障运行稳定。
镜像来源、漏洞扫描、签名校验、准入控制和 Pod 安全上下文也应纳入多租户治理。隔离不仅是运行边界,也是交付链路的安全边界。
- 资源配额
- 镜像扫描
- 准入控制