"Espaços de nomes" fornecem separação administrativa entre diferentes aplicações e são uma barreira para o compartilhamento de recursos. Por exemplo, um PVC de um namespace não pode ser consumido por outro. Trident fornece recursos de PV para todos os namespaces no cluster Kubernetes e, consequentemente, utiliza uma conta de serviço que possui privilégios elevados.

Além disso, o acesso ao Trident pod pode permitir que um usuário acesse as credenciais do sistema de storage e outras informações confidenciais. É importante garantir que os usuários do aplicativo e os aplicativos de gerenciamento não tenham a capacidade de acessar as definições de objeto do Trident ou os próprios pods.

O Kubernetes possui dois recursos que, quando combinados, fornecem um mecanismo poderoso para limitar o consumo de recursos por aplicativos. O "mecanismo de cota de armazenamento" permite que o administrador implemente limites globais e específicos de classe de armazenamento para capacidade e contagem de objetos por namespace. Além disso, usar um "limite de intervalo" garante que as solicitações de PVC estejam dentro de um valor mínimo e máximo antes de serem encaminhadas ao provisionador.

Esses valores são definidos para cada namespace individualmente, o que significa que cada namespace deve ter valores definidos que estejam de acordo com seus requisitos de recursos. Veja aqui para informações sobre "como aproveitar quotas".