"命名空间"造成不同应用程序之间的管理隔离，并阻碍资源共享。例如，一个命名空间中的 PVC 不能在另一个命名空间中使用。 Trident为 Kubernetes 集群中的所有命名空间提供 PV 资源，因此利用了具有提升权限的服务帐户。

此外，访问Trident pod 可能会使用户能够访问存储系统凭据和其他敏感信息。必须确保应用程序用户和管理应用程序无法访问Trident对象定义或 pod 本身。

Kubernetes 具有两个特性，这两个特性结合起来，为限制应用程序的资源消耗提供了一种强大的机制。这 "存储配额机制"管理员可以按命名空间实施全局和存储类特定的容量和对象数量消耗限制。此外，使用 "射程限制"确保 PVC 请求在转发给配置器之前，其值既在最小值也在最大值范围内。

这些值是按命名空间定义的，这意味着每个命名空间都应该定义与其资源需求相符的值。请点击此处查看相关信息 "如何利用配额"。