"ネームスペース"異なるアプリケーション間の管理上の分離を提供し、リソース共有の障壁となります。たとえば、ある名前空間のPVCを別の名前空間で使用することはできません。TridentはKubernetesクラスター内のすべての名前空間にPVリソースを提供し、その結果、昇格された権限を持つサービスアカウントを活用します。

さらに、Tridentポッドへのアクセスにより、ユーザーがストレージシステムの資格情報やその他の機密情報にアクセスできるようになる可能性があります。アプリケーションユーザーと管理アプリケーションがTridentオブジェクト定義またはポッド自体にアクセスできないようにすることが重要です。

Kubernetesには2つの機能があり、これらを組み合わせることで、アプリケーションによるリソース消費を制限する強力なメカニズムが提供されます。 "ストレージクォータメカニズム"により、管理者は、グローバルおよびストレージクラス固有の容量とオブジェクト数の消費制限をネームスペースごとに実装できます。さらに、 "範囲制限"を使用することで、リクエストがプロビジョナーに転送される前に、PVCリクエストが最小値と最大値の範囲内であることを確認します。

これらの値は名前空間ごとに定義されます。つまり、各名前空間には、そのリソース要件に適合する値が定義されている必要があります。詳細については、こちらをご覧ください "割り当てを活用する方法"。