"Espaços de nomes"Proporcionam separação administrativa entre diferentes aplicações e constituem uma barreira ao compartilhamento de recursos. Por exemplo, um PVC de um namespace não pode ser consumido por outro. O Trident fornece recursos PV para todos os namespaces no cluster Kubernetes e, consequentemente, utiliza uma conta de serviço com privilégios elevados.

Além disso, o acesso ao módulo Trident pode permitir que um usuário acesse credenciais do sistema de armazenamento e outras informações confidenciais. É importante garantir que os usuários do aplicativo e os aplicativos de gerenciamento não tenham a capacidade de acessar as definições de objeto do Trident ou os próprios pods.

O Kubernetes possui duas funcionalidades que, quando combinadas, fornecem um mecanismo poderoso para limitar o consumo de recursos pelas aplicações. O "mecanismo de cota de armazenamento" Permite ao administrador implementar limites globais e específicos da classe de armazenamento para o consumo de capacidade e contagem de objetos por namespace. Além disso, usando um "limite de alcance" Garante que as solicitações de PVC estejam dentro de um valor mínimo e máximo antes de serem encaminhadas ao provisionador.

Esses valores são definidos para cada namespace individualmente, o que significa que cada namespace deve ter valores definidos que estejam de acordo com seus requisitos de recursos. Veja aqui para obter informações sobre "como aproveitar as quotas" .