В чем проблема запуска веб-контейнеров и контейнеров приложений в одном и том же пространстве имен в OpenShift? Это безопасность нет-нет или просто хранить и веб-слои и слои приложения отдельно?
IMO, OpenShift довольно безопасен, и запуск как веб-контейнеров, так и контейнеров приложений в одном и том же пространстве имен не должен вызывать беспокойства. Но как на это смотрят другие?
Каковы плюсы и минусы? Какова наилучшая практика?
Пространства имен на самом деле не дают каких-либо существенных преимуществ в плане безопасности. Большинство правил и политик безопасности, которые вы можете применить, например Сетевые политики, можно так же легко создать с помощью селекторов, как и с помощью пространств имен. Я уверен, что наличие отдельных пространств имен дает некоторые крайние преимущества, но я не считаю это общим фактором при принятии решения.
Как упоминает Хакерман, пространства имен связаны с логической группировкой. (И, ну, пространства имен, чтобы у вас не было конфликтов имен.)
И это не потому, что «OpenShift довольно безопасен». Если в контейнере есть какая-то ошибка безопасности, в контейнере все еще есть ошибка безопасности. В OpenShift и OpenShift Advanced Container Security доступно множество инструментов, которые помогут вам смягчить эти ошибки. Но пространства имен на самом деле не являются одним из них.
Спасибо Дэвиду и Хакерману за ваш вклад. Мы продолжаем работать с защищенным образом Nginx и тестируем контейнер вместе с другими службами приложений.
Пространства имен — это способ иметь логическую группу приложений... любым способом. Может быть, вы фабрика программного обеспечения и у вас есть несколько систем SaaS... тогда вы можете иметь пространства имен проектов, названные в честь каждого из ваших приложений... или, может быть, вы хотите сгруппировать по теннанту или по приложению типа, такие как внешние приложения и внутренние приложения .... нет серебряной пули, просто то, что имеет смысл для вас, должно быть правильным ?