如何在 Kubernetes(k8s) 中配置多租户环境的存储隔离？

在Kubernetes中实现多租户存储隔离需结合命名空间、RBAC、存储策略及存储后端能力。以下为实践经验和挑战：

1. 命名空间与资源配额

   • 每个租户分配独立Namespace，通过ResourceQuota限制PVC数量和存储容量。例如限制requests.storage总量及persistentvolumeclaims数量。
   • 挑战：共享存储类（如SSD高性能池）可能因配额未隔离导致资源抢占。

2. RBAC精细化控制

   • 通过RoleBinding限制租户仅能操作自身Namespace内的PVC，禁止get/list跨Namespace存储资源。
   • 使用准入控制器（如OPA/Gatekeeper）强制PVC必须绑定指定StorageClass。
   • 挑战：CSI驱动需高权限ServiceAccount，存在提权风险，需通过PodSecurityPolicy限制。

3. 存储后端多租户适配

   • Ceph RBD：为每个租户创建独立存储池，在StorageClass中通过pool参数隔离
   • AWS EBS：通过SC的tags将卷归属租户，结合IAM策略限制访问
   • 挑战：NFS等共享存储需后端配置导出目录ACL，动态分配时易出现权限泄漏。

4. 网络隔离增强

   • 当使用iSCSI/FC SAN时，通过NetworkPolicy限制Pod与存储系统的通信路径
   • 挑战：云厂商托管存储（如Azure Disk）依赖VNet端点策略，需与K8s网络插件深度集成。

5. 性能隔离实践

   • 在StorageClass中定义QoS参数（如Ceph RBD的rados_namespace配合CEPH_ARGS限速）
   • 对于Alluxio等缓存层，通过Annotation分配租户专属缓存池
   • 挑战：CSI标准未规范QoS接口，需定制扩展或依赖存储厂商实现。

6. 跨租户共享的特殊处理

   • 使用ReadWriteMany卷时，通过K8s VolumeSnapshot创建租户间数据交换隔离层
   • 挑战：快照权限易产生越权访问，需在CSI驱动层实施租户绑定校验。

监控方面建议部署StorageOS或Rancher Longhorn的可视化租户存储看板，审计关键操作如PVC绑定、VolumeAttachment等事件。最终需通过Chaos Engineering验证故障场景下隔离有效性，如模拟存储后端故障时确保仅影响关联租户。

在Kubernetes中配置多租户存储隔离需结合命名空间、RBAC、存储策略及资源配额。关键步骤如下：

1. 命名空间隔离：为每个租户创建独立Namespace，作为资源边界。
2. RBAC控制：通过Role/RoleBinding限制租户仅能访问自身Namespace内的PersistentVolumeClaim(PVC)。
3. 存储类策略：
   • 使用StorageClass定义租户专属存储后端（如Ceph/RBD、NFS子目录）
   • 启用Volume Binding Mode控制PV绑定逻辑
4. 动态资源配额：
   • ResourceQuota限制Namespace的存储总量
   • LimitRange控制单PVC容量
5. 网络策略：NetworkPolicy限制Pod与存储服务的跨租户通信
6. CSI扩展：通过CSI驱动参数传递租户ID，实现存储后端级别的隔离
7. 安全增强：
   • PodSecurityPolicy限制非授权存储挂载
   • 加密敏感存储卷（使用Secrets Store CSI Driver）
8. 审计监控：独立记录各Namespace的存储操作日志 注：云厂商（如AWS EKS）需结合IAM策略实现存储桶级隔离，OpenShift平台可通过SCC加强控制。

1. 命名空间隔离：为每个租户创建独立Namespace（如tenant-a、tenant-b），确保资源逻辑隔离。
2. RBAC配置：通过Role和RoleBinding限制租户仅能访问所属Namespace的PersistentVolumeClaim（PVC）。
3. 存储类定制：为不同租户创建专用StorageClass（如sc-tenant-a），绑定到特定后端存储池或访问策略。
4. 动态存储分配：启用StorageClass动态卷供应，自动创建租户专属PersistentVolume（PV）。
5. 资源配额限制：设置ResourceQuota，限制每个Namespace的PVC数量及存储容量。
6. 网络策略加固：使用NetworkPolicy限制Pod仅能访问所属租户的存储服务端点。
7. 存储后端隔离：在存储系统层（如Ceph、NFS）划分独立存储池/路径，实现物理隔离。
8. 审计与监控：启用Kubernetes审计日志及存储用量监控，实时检测异常访问。

1. 命名空间隔离：为每个租户创建独立命名空间（kubectl create namespace tenant-a），确保PVC/PV在各自命名空间内创建，天然隔离。

2. RBAC权限控制：通过Role和RoleBinding限制租户仅能访问自身命名空间的存储资源。示例Role定义需包含对PVC/PV的get/list/create权限，并绑定到租户账户。

3. 租户专属StorageClass：为不同租户创建独立的StorageClass，指向不同后端存储或配置参数（如磁盘类型、加密策略）。租户创建PVC时强制指定其专属StorageClass。

4. 网络策略限制：通过NetworkPolicy限制Pod仅能访问同命名空间的存储服务（如NFS Server），避免跨租户访问。

5. 动态卷隔离：利用CSI驱动能力（如Tenant Volumes）或存储后端特性（如Ceph多租户池），确保物理存储层隔离。

6. 资源配额管理：在命名空间级别配置ResourceQuota，限制每个租户的PVC数量、总存储容量（如requests.storage: 500Gi）。

7. 审计与监控：启用存储操作审计日志，结合监控工具检测异常跨命名空间访问行为。

在k8s里搞多租户存储隔离，主要是用Namespace和RBAC。每个租户单独开个Namespace，然后用StorageClass定义不同的存储策略。用RBAC限制租户只能在自己Namespace里创建PVC/PV，再配合ResourceQuota限制存储用量。有条件的可以用CSI驱动或者不同后端存储（比如每个租户单独NFS目录），物理层面彻底隔离数据。