Multi-Tenancy su Kubernetes con Cluster Virtuali

Abstract

Fornire ambienti multi-tenant o cluster Kubernetes dedicati e isolati comporta notevoli sfide in termini di costi e complessità operativa. Questo intervento analizza diversi modelli di implementazione, confrontandone i requisiti di isolamento, operatività e costi.

Presenteremo K3k, uno strumento open source sperimentale che permette di creare cluster virtuali K3s per un isolamento efficiente e leggero, offrendo due modalità architetturali:

• Modalità Condivisa (Shared Mode): Ottimizza la densità usando un data plane condiviso. In questa modalità, un control plane K3s virtuale è dedicato a ogni tenant, mentre i workload vengono schedulati sui nodi dell’host tramite un provider Virtual Kubelet. L’isolamento tra tenant è garantito a livello host tramite Network Policies e Pod Security Admission (PSA).
• Modalità Virtuale (Virtual Mode): Prioritizza il massimo isolamento incapsulando uno stack Kubernetes completo (control plane e worker node virtuali) interamente all’interno di pod. In questo modo, ogni tenant ottiene un ambiente con control plane e rete dedicati, incluso uno stack di networking indipendente (es. CNI come Flannel o Calico).

Confronteremo sicurezza, operatività e costi di queste due architetture, evidenziando i benefici per scenari specifici, come sandbox di sviluppo dal provisioning rapido o ambienti di produzione leggeri e sicuri. Sottolineeremo il valore del modello open source di K3k e il suo contributo alla community, con una dimostrazione pratica che ne illustrerà le principali capacità.