前言

为避免Docker容器打满带宽，有时需要对容器进行限速。
目前比较好的方案是使用 tc-docker ，本文中我们就来学习一下。

参考文档：

• 《虚拟机在线迁移过程中的故障注入》
• Linux服务器限制网络带宽流量速率
• github - CodyGuo/tc-docker
• docker限制容器下载速度

krew简介

Krew itself is a kubectl plugin that is installed and updated via Krew (yes, Krew self-hosts).

Krew 本身是一个 kubectl 的插件，同时也是一个 kubectl 的插件包管理器。
Krew 帮助我们发现插件，在我们的机器上安装和管理它们。它类似于 apt、dnf 或 brew 等工具。
当前，Krew 上提供了 200 多个 kubectl 插件。

参考文档：

• krew - Installing
• Krew

前言

《Harbor入门篇》一文中，我们已经安装配置好了Harbor。
本文中，我们来学习一下怎样在K8S中配置使用imagePullSecrets，从Harbor或者其他私有镜像仓库拉取镜像。

参考文档：

• 从私有仓库拉取镜像

问题描述

大部分用户能够正常登录和使用ks，但是个别用户（voidking01）登录ks后报错。
用户登录ks，正常；登录后查看工作台，正常；查看host集群和只包含host集群的企业空间，正常。

但是，选择一个非host集群或者选择一个包含非host集群的企业空间后，页面就会弹出错误提示：
Session timeout or this account is logged in elsewhere, please login again

然后转到登录页面，再次登录，继续弹出上面的错误提示。循环往复。

Kubernetes 多租户面临的挑战

使用 Kubernetes 的过程中，企业和个人用户在资源共享和安全性方面均面临着诸多挑战。首当其冲的就是企业环境中多租户形态该如何定义，租户的安全边界该如何划分。

多租户是一种常见的软件架构，简单概括就是在多用户环境下实现资源共享，并保证各用户间数据的隔离性。

多租户要解决两大问题：逻辑层面的资源隔离；物理资源的隔离。

逻辑层面的资源隔离主要包括 API 的访问控制，针对用户的权限控制。Kubernetes 中的 RBAC 和命名空间 (namespace) 提供了基本的逻辑隔离能力，但在大部分企业环境中并不适用。企业中的租户往往需要跨多个命名空间甚至是多个集群进行资源管理。除此之外，针对用户的行为审计、租户隔离的日志、事件查询也是不可或缺的能力。

物理资源的隔离主要包括节点、网络的隔离，当然也包括容器运行时安全。您可以通过 NetworkPolicy 对网络进行划分，通过 PodSecurityPolicy 限制容器的行为，Kata Containers 也提供了更安全的容器运行时。

为了解决上述问题，KubeSphere 提供了基于 Kubernetes 的多租户管理方案。

参考文档：

• KubeSphere 中的多租户
• 添加现有 Kubernetes 命名空间至 KubeSphere 企业空间