OpenShift 中同一命名空间中的 运行 Web 和应用程序容器是否存在安全问题?
is it a security concern to run web and app containers in the same namespace in OpenShift?
运行 OpenShift 中同一命名空间中的 Web 容器和应用程序容器会出现什么问题?是安全禁忌还是只保留 Web 和应用程序层?
IMO,OpenShift 非常安全,运行 同一命名空间中的 Web 和应用程序容器不应该是一个问题。但是其他人如何看待这个?
优缺点是什么?最佳做法是什么?
命名空间并没有真正提供任何重要的安全优势。您可以强制执行的大多数安全规则和策略,例如 NetworkPolicies,都可以像使用名称空间一样使用选择器轻松构建。我确信拥有单独的命名空间有一些极端的优势,但我不认为它是做出决定的共同因素。
正如 Hackerman 所说,名称空间是关于逻辑分组的。 (还有命名空间,这样您就不会发生名称冲突。)
这并不是因为“OpenShift 非常安全”。如果容器存在一些安全故障,那么容器仍然存在安全故障。在 OpenShift 和 OpenShift Advanced Container Security 中有许多工具可以帮助您缓解这些故障。但名称空间并不是其中之一。
运行 OpenShift 中同一命名空间中的 Web 容器和应用程序容器会出现什么问题?是安全禁忌还是只保留 Web 和应用程序层?
IMO,OpenShift 非常安全,运行 同一命名空间中的 Web 和应用程序容器不应该是一个问题。但是其他人如何看待这个?
优缺点是什么?最佳做法是什么?
命名空间并没有真正提供任何重要的安全优势。您可以强制执行的大多数安全规则和策略,例如 NetworkPolicies,都可以像使用名称空间一样使用选择器轻松构建。我确信拥有单独的命名空间有一些极端的优势,但我不认为它是做出决定的共同因素。
正如 Hackerman 所说,名称空间是关于逻辑分组的。 (还有命名空间,这样您就不会发生名称冲突。)
这并不是因为“OpenShift 非常安全”。如果容器存在一些安全故障,那么容器仍然存在安全故障。在 OpenShift 和 OpenShift Advanced Container Security 中有许多工具可以帮助您缓解这些故障。但名称空间并不是其中之一。