1 files changed, 6 insertions(+), 0 deletions(-)

M Sections/6.Conclusion.tex

@@ 7,6 7,12 @@
 
 \subsection{租戶間的網路隔離}
 
+在 Kubernetes 下，所有的 Pods 皆處於一個至少自第三層（L3，網路層）互通的網路環境，亦即在不加以限制下，任何 Pod 皆能與其他 Pod 溝通。在我們的單一叢集多租戶架構下，我們應確保不同租戶間的 Pods 不能互相溝通，作為資安防禦手段。
+
+Kubernetes 定義了 NetworkPolicy 種類，以設定 Pod 的防火牆規則，需搭配具備相關支援的 Container Network Interface (CNI)\footnote{CNI: Kubernetes 對於其叢集內部網路實做提供的抽象定義，市面上有多個不同實做可供選擇。} 實做。為了往後實做租戶間的網路隔離，在架構叢集期間我們即採用支援 NetworkPolicy 的 Calico\footnote{Calico: CNI 實做，其主要特色為大量採用 L3 網路，異於傳統牽涉 L2 的方案，有助於簡化架構。} 做為 CNI 實做。
+
+然而 NetworkPolicy 同時也常用於使用者自行針對工作負載所需而擬定的網路加固，在一般常見的存取控制機制下，較難實施平台端硬性的全域政策。目前預見可能的實做路徑有針對此情景進一步特別設計修改存取控制，或者使用特定 CNI 實做的專屬方案，如 Calico 的 GlobalNetworkPolicy resource 種類。
+
 \subsection{容器運行環境加固}
 
 \subsection{Control plane 虛擬化}