這邊跟大家分享一篇關於 Kubernetes 多租戶的相關文章,該文章中探討到底多租戶的定義,以及實現上的難易程度
1. 多租戶可分成軟性與硬性兩種隔離, Kubernetes namespace 可以視為軟性隔離,而硬性隔離則是希望能夠更強力的隔離所有資源,文章中提到了 vClusters 的概念,連結放在最後
2. 作者認為多租戶的 Kubernetes Cluster 實際上也會帶來一些限制,讓某些功能變得不方便使用。
a. 基於 namespace 的租戶隔離方式就只能大家都同樣一個 k8s 版本,同時有一些支援 RBAC 設定的 Helm Chart 可能就不方便使用。
3. 作者這邊反思提出一個問題,為什麼真的需要多租戶的 Kubernetes 叢集,不能夠用多個單一租戶的 Kubernetes 叢集來取代?
a. 真的有這樣的實例,但是其實成本過高且沒效率。
b. 如果公司內每個開發人員都需要一個自已的 k8s來操作測試,規模一大的話你每個月的成本非常可觀,因此如果可以有一個多租戶的 k8s,就可以解決這些問題
4. 多租戶實作上的挑戰,作者這邊列出幾個問題,包含使用者管理,資源分配以及如何隔離
a.基本上每個組織本身都已經有管理使用者的解決方案,譬如 AD/LDAP 等,如果要將這些使用者的認證授權與 kubernetes 整合,推薦使用 dex 這個支持 OpneID/OAtuth2 的解決方案,幫你將 Kubernetes 與外部資料系統整合
b. 底層資源的共享,避免單一租戶過度使用導致其他租戶不能使用。資源包含了運算資源,網路頻寬等。作者列出透過 Resource Quotas 等可以幫忙限制運算資源,但是並沒有說出網路頻寬這部份該怎麼處理。這部份我認為需要導入更多的network qos解決方案來限制,應該會需要cni以及外部交換機路由器等來幫忙
c. 最後則是互動上的隔離,要如何確保這些多租戶不會互相影響彼此,甚至攻擊彼此。這部份可能要從 NetworkPolicy 來處理網路流量,同時透過 vCluster的方式來提供相對於 namespace層級更強烈的隔離,確保彼此不會互相影響。
5. 最後,作者列出了一些關於多租戶的可能解決方案,包含了 kiosk, loft等
結論來說就是,今天你如果有多租戶的需求,請先問自己,你需要什麼等級的多租戶管理,再來則是三個重點問題要先想清楚,你要怎麼處理
1) 如何管理使用者/租戶
2) 系統資源要如何分配與限制
3) 如何真正有效的隔離這些租戶
如果有這方面的需求,可以先看看別的開源軟體怎麼實作,再來思考是否滿足需求,如果要自己實現,有哪些好的設計值得參考!
歡迎留言討論讓大家知道更多關於多租戶的玩法與經驗
https://medium.com/faun/kubernetes-multi-tenancy-a-best-practices-guide-88e37ef2b709
https://loft.sh/blog/introduction-into-virtual-clusters-in-kubernetes/
測試 ldap 在 iThome Security Facebook 的最佳貼文
【10/11~10/17】一周資安新聞回顧
1⃣Twitter拒向用戶說明蒐集哪些資料!? 愛爾蘭當局著手調查是否違反GDPR
2⃣Google+資料外洩事件餘波盪漾,傳德國、愛爾蘭展開調查
3⃣新版GandCrab結合加密服務,讓駭客取得作案所需工具更為容易
4⃣Google推出身分和存取管理服務CICP,還以Secure LDAP支援傳統應用程式
5⃣研究人員釋出Microsoft Edge漏洞的概念性驗證攻擊程式
6⃣WhatsApp修補只要接聽視訊就可讓駭客掌控行動程式的安全漏洞
7⃣太歲頭上動土!駭客冒充冰島警方寄出網釣郵件
8⃣滲透測試報告:只要利用簡單的工具與技術就能駭入美國國防部的武器系統
9⃣微軟Patch Tuesday修補零時差漏洞,也修補了Windows 10 October 2018 Update意外移除檔案的漏洞
測試 ldap 在 測試LDAP 鑑別設定 - IBM 的相關結果
在配置「輕量型目錄存取通訊協定(LDAP)」伺服器的搜尋過濾器參數時,一律執行鑑別測試,以確認搜尋過濾器成功。 所有搜尋過濾器都必須正常運作,才能確保與LDAP 伺服器 ... ... <看更多>
測試 ldap 在 LDAP測試工具 的相關結果
有什麼樣的方式或工具,能測試跟某台DC的LDAP功能是正常的. 指在windows平台上測試. 2008年9月11日上午05:08. 回覆. |. 引述. a54sports 的Avatar. ... <看更多>
測試 ldap 在 安全LDAP 連線能力測試 的相關結果
安全LDAP 連線能力測試. 支援這項功能的版本:Business Plus;Enterprise;Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和Education ... ... <看更多>