"命名空間" 提供不同應用程式之間的管理隔離，並構成資源共享的障礙。例如，一個命名空間中的 PVC 無法從另一個命名空間使用。Trident 為 Kubernetes 叢集中的所有命名空間提供 PV 資源，因此利用具有提升權限的服務帳戶。

此外，存取 Trident pod 可能使用戶能夠存取儲存系統憑證和其他敏感資訊。請務必確保應用程式使用者和管理應用程式無法存取 Trident 物件定義或 pod 本身。

Kubernetes 具有兩項特性，二者結合使用可提供強大的機制來限制應用程式的資源消耗。 "儲存配額機制"可讓管理員以每個命名空間為基礎，實施全域以及儲存類別特定的容量和物件數量消耗限制。此外，使用 "範圍限制"可確保在將請求轉送給配置器之前，PVC 請求的值均在最小值和最大值範圍內。

這些值是基於命名空間定義的，這意味著每個命名空間都應該定義與其資源需求相符的值。請參閱此處以取得相關資訊 "如何利用配額"。