"ネームスペース"異なるアプリケーション間の管理上の分離を提供し、リソース共有の障壁となります。たとえば、ある名前空間の PVC を別の名前空間で使用することはできません。 Trident は、 Kubernetes クラスター内のすべての名前空間に PV リソースを提供し、その結果、昇格された権限を持つサービス アカウントを活用します。

さらに、 Tridentポッドにアクセスすると、ユーザーはストレージ システムの資格情報やその他の機密情報にアクセスできる可能性があります。アプリケーション ユーザーと管理アプリケーションがTridentオブジェクト定義またはポッド自体にアクセスできないようにすることが重要です。

Kubernetes には 2 つの機能があり、これらを組み合わせることで、アプリケーションによるリソース消費を制限する強力なメカニズムが提供されます。その "ストレージクォータメカニズム"管理者は、グローバルおよびストレージ クラス固有の容量とオブジェクト数の消費制限を名前空間ごとに実装できます。さらに、 "範囲制限"要求がプロビジョナーに転送される前に、PVC 要求が最小値と最大値の範囲内であることを確認します。

これらの値は名前空間ごとに定義されます。つまり、各名前空間には、そのリソース要件に適合する値が定義されている必要があります。詳細については、こちらをご覧ください。 "割り当てを活用する方法" 。