4.2 特点 Fabric 租户隔离功能设计有如下特点：
(1) 使用方便 ， 直接添加注解（annotation）信息 ， 即可为容器配置多租户隔离 。
(2) 配置灵活 ， 除了基本的租户之间的隔离之外 ， 同时还可以配置兄弟租户之间的互通 ， 可以适应多种使用场景 。
(3) 租户白名单设计 ， 几个系统级别的 namespace (kube-system, kube-public, default, kube-node-lease, monitoring, ingerss-nginx) 是任意租户可达的 。
4.3 实现原理 当集群中已经配置多租户时 ， pod 如果访问集群网络会首先进行网络策略验证 ， 即验证网络访问源地址和目的地址网络是否符合多租户网络隔离策略 。 主要判断的是否在同一 namespace 下、源地址或目的地址是否在白名单内、租户是否存在、是否配置了兄弟租户（租户之间互通） 。
简要的多租户网络隔离验证策略如图 4 所示：

文章图片
图 4：多租户网络隔离验证策略
五、总结与展望【四大功能！带你初识 Fabric | 容器网络系列第2期】目前 ， Fabric 有着非常丰富且强大的功能 ， 但由于篇幅所限 ， 本文只能介绍一些常用且基础的功能 。 后续 Fabric 会持续优化已有的功能 ， 并积极开发更多实用的新功能 。 在此之后 ， 我们还会分享一些 Fabric 的进阶的功能的设计方案和相关特性 。