资源隔离

Erda 通过租户（企业），环境来划分不同应用的资源归属范围，在一些安全性较高的场景下，往往会要求不同企业，不同环境之间的资源是互相隔离的，以满足最小访问权限的安全原则。Erda 针对不同企业，不同环境提供了两种级别的隔离方案 —— 集群隔离和机器隔离。

集群隔离

在 Erda 中，集群作为管理机器的资源池，用户可以通过建设多个集群分属于不同的租户（企业）或者环境来达到集群粒度的隔离，这种隔离效果安全性较高，既可以对不同租户（企业）不同环境的资源单独管理，同时在网络上也是互相隔离的，达到了很高的安全级别。可以使用超级管理员用户对企业跟集群的关系进行配置，由于这种隔离方案需要大规模的机器来部署，因此比较适合实施规模比较大的企业级PaaS平台。

机器隔离

在规模比较小的场景下，Erda（企业），不同环境的资源范围的隔离方案，这种隔离可以实现在资源管理上的隔离效果，即以机器维度，通过机器标来限制不同租户，不同环境的资源使用量，但是在网络上不具有隔离效果，因此这种隔离方案适用于中小企业规模下的场景。

应用隔离

TODO: cgroup介绍