OpenShift是否通过在主机级别分离容器来支持真正的多租户?

我花了一段时间才明白OpenShift是什么以及它做了什么(除了Kubernetes本身)。

我的问题是指当前版本的OpenShift Origin 1.1(OpenShift 3.1)。

  • OpenShift是否通过在专用主机上运行来自不同租户的容器来支持真正的多租户?

没有太多的细节,应该是常识(如果你熟悉Docker / Container的安全问题),你可以通过在主机级别进行容器隔离保护租户免受容器突破或其他攻击。

(我强烈推荐这本电子书在Docker安全 )。

OpenShift的文档只描述了项目和用户的概念,而Kubernetes文档只是陈述命名空间的概念来确定某些资源的范围。

感谢您对此的任何见解或对此的看法,如果您有OpenShift作为开发人员或客户的多租户Container / PaaS平台运行的经验。

是的,您可以通过在不同的主机上运行容器来保持容器彼此分离。

这样做的方式是通过configuration调度程序策略。 调度程序不是一个“时间调度程序”,而是一个资源调度程序,它将决定在哪里运行pod。

在不同节点上运行pod(一个或多个容器的集合)可以专门使用反关联规则进行configuration。

一般请参阅https://docs.openshift.com/enterprise/3.0/admin_guide/scheduler.html ,并专门查看https://docs.openshift.com/enterprise/3.0/admin_guide/scheduler.html#affinity以获取更多详细信息关于如何设置这个configuration。

https://github.com/kubernetes/kubernetes/blob/master/docs/design/podaffinity.md上的文档也提供了有关这方面的信息。

Interesting Posts

如何处理Docker镜像中的安全更新?

拦截Docker容器https请求stream量与mitmproxy

如何防止docker容器内的代码访问networking?

为什么Docker的秘密比环境variables更安全?

在Openshift上以非root用户身份运行nginx,并在端口80上侦听

什么是混搭攻击? (Docker – 快照键)

python:PyPi公共模块:如何确定安全和安全?

Docker的安全问题使用非官方的图片

Docker Store vs Docker Hub

如何在Elasticsearch Docker容器上禁用安全性(用户名/密码)