国外VPS容器多租户隔离：命名空间与资源配额配置

在国外VPS上部署容器化应用时，多租户隔离是保障资源独立与数据安全的关键。想象一下，不同租户的容器就像同一栋楼里的独立房间——既共享大楼基础设施，又有各自的门禁和面积限制。实现这种“房间级隔离”的核心技术，正是命名空间（逻辑隔离工具）与资源配额（资源限制规则），本文将一步步拆解它们的配置方法。

为什么需要命名空间与资源配额？

多租户场景下，若所有容器混在一个“大房间”里，可能出现三种问题：A租户的进程“偷看”B租户的文件、某租户容器占满CPU导致其他租户卡顿、恶意容器攻击其他租户服务。这时候就需要两样“隔离工具”：

- 命名空间（Namespace）：给每个租户分配“虚拟房间编号”，网络、进程、文件系统等资源都被限制在各自“房间”内，A租户的容器看不到B租户的网络IP，也访问不了对方的进程。
- 资源配额（Resource Quota）：给每个“房间”标注“面积上限”，比如限制CPU最多用2核、内存最多2GB，避免某租户过度占用资源影响他人。

命名空间：给容器划“虚拟房间”

在国外VPS上配置命名空间，常见工具有Docker和Kubernetes，操作逻辑类似但细节不同。

Docker网络命名空间配置
假设要为租户A创建独立网络环境，让其容器只能访问自己的内部IP：
1. 先创建一个桥接网络（相当于独立网络命名空间）：
`docker network create --driver bridge tenantA-net`
2. 启动容器时指定这个网络：
`docker run -d --network tenantA-net --name tenantA-nginx nginx`

此时租户A的Nginx容器，只能与同一网络（tenantA-net）中的其他容器通信，无法直接访问国外VPS上其他网络的容器，实现了基础的网络隔离。

Kubernetes命名空间管理
K8s（Kubernetes简称）的命名空间更灵活，能隔离Pod、服务等所有资源。比如为租户B创建独立空间：
1. 用命令创建命名空间：
`kubectl create namespace tenantB-ns`
2. 部署应用时指定命名空间（修改YAML文件）：

apiVersion: v1
kind: Pod
metadata:
  name: tenantB-pod
  namespace: tenantB-ns  # 指定属于tenantB-ns命名空间
spec:
  containers:
  - name: app
    image: nginx

这样tenantB-pod就被“锁”在tenantB-ns里，其他命名空间的Pod无法直接访问它，就像不同房间的住户没有门卡进不去。

资源配额：给租户设“资源上限”

光有“房间”不够，还需限制每个房间的“面积”——避免某租户容器占用过多CPU或内存，拖慢整台国外VPS。K8s中通过ResourceQuota对象实现，具体步骤如下：

1. 新建配额文件（quota.yaml）：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: tenantB-quota  # 配额名称
  namespace: tenantB-ns  # 绑定到tenantB-ns命名空间
spec:
  hard:
    requests.cpu: "1"       # 容器启动时至少需要1核CPU
    requests.memory: 1Gi    # 容器启动时至少需要1GB内存
    limits.cpu: "2"         # 容器最多可用2核CPU
    limits.memory: 2Gi      # 容器最多可用2GB内存

这里的“requests”是容器运行的“最低保障”，“limits”是“最高红线”。

2. 应用配额：
`kubectl apply -f quota.yaml`

之后，在tenantB-ns命名空间里创建的任何容器，都必须满足CPU和内存的限制。如果尝试创建需要3核CPU的容器，K8s会直接拒绝，确保租户不会超量占用资源。

通过命名空间和资源配额的配合，在国外VPS上能有效实现容器多租户隔离。命名空间划分逻辑边界，资源配额限制资源使用，两者结合能让不同租户的容器更独立、更安全。实际部署时，可根据租户数量、应用类型调整命名空间数量和配额数值——比如电商大促租户可适当调大内存配额，小型测试租户则收紧限制，灵活适配业务需求。