银行有必要按照网络安全区来划分容器云集群吗？

@zxd 中原银行 高级工程师：

网络安全区是指将网络划分为不同的区域，每个区域根据安全级别的不同，采取相应的安全措施。按照网络安全区划分容器集群可以提高安全性。例如，将容器集群划分为内部网络和外部网络，内部网络可以存放敏感数据和应用程序，外部网络可以提供服务给外部用户。这样可以控制外部用户对于内部网络的访问，提高了系统的安全性。

按照网络安全区划分容器集群需要考虑成本和效率。划分过多的网络安全区可能会增加系统的部署和维护成本，同时也会降低系统的效率。因此，需要在安全性和效率之间进行权衡。

按照网络安全区划分容器集群并不是唯一的安全措施。在实际应用中，还需要综合考虑其他安全措施，如访问控制、身份认证、加密等。只有综合考虑才能确保系统的安全性。

所以，需要根据实际情况来决定是否按照网络安全区划分容器集群。

如果划分网络安全区的原则：

安全性原则，应该将容器集群划分为不同的安全区域，根据安全级别的不同，采取相应的安全措施，以保证系统的安全性。

效率原则，在划分网络安全区时，需要考虑系统的效率。如果划分过多的网络安全区，可能会增加系统的部署和维护成本，同时也会降低系统的效率。

管理原则，应该根据实际情况，确定不同的管理策略，以便能够更好地管理容器集群。

划分网络安全区的意义：

提高安全性，根据安全级别的不同，采取不同的安全措施，以保护系统的安全性，防止黑客攻击和数据泄露等问题。

增强可靠性，将容器集群划分为不同的区域，以便更好地管理和维护系统，同时也可以减少系统故障和错误。

提高效率，通过合理划分网络安全区，可以避免因为过多的网络安全区而导致的系统效率降低。

总之，只有根据实际情况，合理划分网络安全区，才能更好地保护系统的安全性，提高系统的可靠性和效率。

@北京不眠夜 产品经理：

1、容器云作为资源池，肯定是要满足银行的内网安全管理要求的。因此，是需要根据业务需求与内网安全要求来部署云平台。

2、划分原则

a、单集群单架构，即ARM集群上面都是XC应用，X86集群上面都是X86应用。虽然厂商技术上一般都是支持单集群混合节点部署，但管理和使用起来都比较麻烦。落地中没人会用。

b、单集群单应用，一般都是大数据、AI等新兴应用对有特定服务器的要求（如GPU、高性能）；或者，该应用服务规模较大、隔离性要求高，不希望同其他应用共用。

c、每个网络区域独立集群，从管理上跟方便灵活。

d、集群跨网络区域部署，上容器规模量不大，不希望浪费资源。这种情况需要在Master和node之间增加一层逻辑分组，实现应用只在某个网络区域内的几个节点进行部署。

3、集群规模最佳实践

虽然，社区里面宣称单集群可以实现5000+的规模，但实际落地中没有几个企业可以有数十位的pod规模。

欢迎来探讨

欢迎点击文末 阅读原文 到社区阅读和讨论交流，发表您的看法

觉得本文有用，请 转发 或点击 赏 ，让更多同行看到