"Namensräume"Sie sorgen für eine administrative Trennung zwischen verschiedenen Anwendungen und stellen eine Barriere für die gemeinsame Nutzung von Ressourcen dar. Beispielsweise kann ein PVC aus einem Namespace nicht von einem anderen verwendet werden. Trident stellt PV-Ressourcen allen Namespaces im Kubernetes-Cluster zur Verfügung und nutzt daher ein Servicekonto mit erweiterten Berechtigungen.

Darüber hinaus könnte der Zugriff auf den Trident-Pod einem Benutzer den Zugriff auf Anmeldeinformationen des Speichersystems und andere sensible Informationen ermöglichen. Es ist wichtig sicherzustellen, dass Anwendungsbenutzer und Verwaltungsanwendungen nicht die Möglichkeit haben, auf die Trident-Objektdefinitionen oder die Pods selbst zuzugreifen.

Kubernetes verfügt über zwei Funktionen, die in Kombination einen leistungsstarken Mechanismus zur Begrenzung des Ressourcenverbrauchs von Anwendungen bieten. Der "Speicherquotenmechanismus" ermöglicht es dem Administrator, globale sowie speicherklassenspezifische Kapazitäts- und Objektanzahlbeschränkungen pro Namespace zu implementieren. Darüber hinaus stellt die Verwendung eines "Bereichslimit" sicher, dass die PVC-Anfragen sowohl einen minimalen als auch einen maximalen Wert einhalten, bevor die Anfrage an den Provisioner weitergeleitet wird.

Diese Werte werden pro Namensraum definiert, was bedeutet, dass für jeden Namensraum Werte definiert sein sollten, die seinen Ressourcenanforderungen entsprechen. Siehe hier für Informationen über "wie man Quoten nutzt".