我有多个团队,每个团队都有大量的应用程序,每个应用程序都有不同的环境(DEV,STAGE,PROD)。寻找一种限制使用命名空间访问的方法。
说,每个团队都有自己的命名空间。
我不希望部署在命名空间A中的应用程序从命名空间B访问configMaps但是,我希望部署在命名空间A中的应用程序访问部署在命名空间B中的Rest应用程序(通过入口或服务)。
此外,开发应用程序不应该对STAGE应用程序具有可见性。
但是,很少有应用程序能够满足DEV& S的要求。 STAGE基于请求标头中的tenantId。
这里有什么建议命名空间的建议?
由于
答案 0 :(得分:3)
命名空间会自动分离群集中的资源。因此,如果您创建名称空间A和B,那么如果您在名称空间A中创建一个configmap,它将在名称空间B中自动不可用。
如果要限制用户在群集中可以执行的操作。例如,如果您希望开发人员能够在开发中创建资源,但只能在暂存或生产中查看内容。我会看一下使用RBAC
如果您想要对网络层上的应用程序进行单独访问,我建议您查看Network Policies。为此,您需要一个适用的网络解决方案,例如Project Calico