解读

在国内政企、金融、医疗等强监管场景，数据驻留通常指“业务数据及其副本必须在中国境内产生、存储、处理、备份，未经审批不得离境”。容器编排（Docker Swarm/K8s）作为承载微服务的“底座”，一旦忽视该约束，可能导致合规一票否决、项目被勒令下线、负责人被追责。面试官希望听到：你能否把“合规”翻译成“编排层面的技术动作”，并给出可落地的闭环方案。

知识点

1. 数据分类分级：先识别哪些数据受驻留约束（PII、交易流水、GIS、人脸特征等），再决定容器化策略。
2. 镜像层与数据层分离：镜像本身不含业务数据，但日志、上传文件、缓存、持久化卷才是驻留重点。
3. 存储拓扑：
   • 本地 emptyDir → 节点磁盘，需保证节点在境内；
   • HostPath → 绑定宿主机目录，需锁定可用区（AZ）与地域（Region）；
   • CSI 插件 → 对接国内云厂商块存储/NAS/OSS，必须开启同城冗余/三地五中心；
   • 分布式存储 → Ceph、Longhorn 需全集群节点 IP 归属境内，且跨区复制策略关闭。
4. 网络出口：
   • Docker Hub 官方镜像默认走海外 CDN，需搭建境内 Harbor 私服并配置镜像代理；
   • sidecar 日志采集（Fluent-bit/Logstash）必须指向境内 Kafka/Elasticsarch，禁止透传到境外 SaaS。
5. 密钥与配置：
   • Docker Config、K8s Secret 若含境外 API Token，可能触发数据出境，需统一纳入国密 KMS 或硬件 HSM；
   • RBAC + NetworkPolicy 阻断容器逃逸后非法外发。
6. CI/CD 合规卡点：
   • Harbor 复制策略加**“数据驻留”标签**，只允许同地域复制；
   • Tekton/ArgoCD 在 pipeline 中插入合规扫描步骤，对 PVC 快照做地域校验。
7. 审计与证据链：
   • Docker 事件日志、K8s Audit Log 必须落盘到境内日志仓库，保留不少于 6 个月；
   • 节点系统盘启用国密算法全盘加密，防止物理出境时数据被恢复。

答案

数据驻留对容器编排的影响，核心是把“合规要求”拆解成“调度、存储、网络、镜像、审计”五道技术闸门。
第一，调度层必须给节点打上**“region=cn-xx”标签，并通过Swarm placement 或 K8s nodeAffinity** 强制工作负载只调度到境内节点，杜绝跨境漂移。
第二，存储层禁止使用默认跨地域复制的云盘，改为单地域多可用区 CSI 存储类，同时把emptyDir 上限限制在内存 tmpfs，防止落地磁盘后出境。
第三，镜像层切断默认海外源，搭建境内 Harbor 私服，开启镜像签名与漏洞扫描，并在Docker Daemon 级联配置**“registry-mirrors”指向国内 CDN。
第四，网络层通过Calico NetworkPolicy** 或Swarm Ingress 只开放80/443到 LB，SNAT 出口 IP 绑定境内弹性公网 IP，侧车容器采集日志时强制TLS 单向认证到境内 Kafka。
第五，审计层把Docker 事件、Kube-API 审计、容器 stdout 统一汇聚到境内日志账户，并设置WORM（一次写入多次读取）策略，满足等保 2.0 三级对证据链的要求。
落地时，用**“合规即代码”思路把以上策略写成Helm 参数与Terraform 模板**，每次发布自动校验，不合规则流水线失败，实现技术+流程双保险。

拓展思考

1. 多活灾备场景：如果监管允许“异地多活但不得出境”，可设计**“华东 1-华东 2”双 K8s 集群，通过Velero+CSI 快照做同国复制**，同时关闭跨区快照自动复制开关，既满足RPO<15min，又守住数据驻留红线。
2. 边缘容器：在车联网/工业互联网场景，边缘节点可能临时出境（跨境物流），需要边缘 K3s 集群启用数据分级缓存，敏感数据写本地加密 LUKS 盘，出境前主动擦除密钥并上报审计中心，实现“车在跑、数据不跑”。
3. Serverless 容器：使用国内云厂商 Serverless 容器实例时，需确认底层宿主机实例也落在境内可用区，否则**“无服务器”≠“无驻留”；可通过云 API 查询实例归属地并写入准入控制器**，实时拦截异常调度。