Comments 3
Спасибо за статью, но есть пара моментов которые просто режут глазки)
1) Замените мультиарендность на мультитенантность или multi tenancy (на слух просто ужасно)
2) К сожалению в статье описаны базовые принципы которые уже заезжаны и ничего нового не приносят.
Было бы круто послушать о разделение по профилям нагрузки в мультитенантных средах использование разного коммунального оборудования, как выдавать видеокарты разных версий для разных групп и многое другое.
А так базисные правила в мультитенантных окружениях - минимизация соприкасновения.
1) Разделяете на неймспейсы
2) выделяете квоты и лимиты (задумывайтесь о биллинге ресурсов)
3) ингрес в каждый неймспейс (вход должен быть отдельным)
4) никакого оверлея только нейтив сеть или использования egress GW в каждый неймспейс для выхода трафика (выход должен быть отдельным)
5) дефолтные сетевые политики DENY ALL (всегда пишите только разрешающие правила для приклада)
6) Маркируйте приклад по профилю нагрузки CPU, RAM, DISK и маркировка профиля в рамках группы low, medium, high
7) Используйте афинити антиафинити и другие механизмы
8) Не забывайте вешать нод селектор лейбл для неймспейса (То что управляется админом или платформой - не клиентом)
9) Ограничивайте капабилити через PSP, PSS и пишите валидаторы через OPA (конфигурация должна удовлетворять требованиям)
И многое другое....
Многие коммунальные ресурсы к сожалению так и останутся коммунальными такие как coredns, SDN
Мультиарендность в Kubernetes