Sicherheit
Änderungen vorschlagen
PDFs
Verwenden Sie die hier aufgeführten Empfehlungen, um sicherzustellen, dass Ihre Trident-Installation sicher ist.
Trident in einem eigenen Namensraum ausführen
Es ist wichtig, Anwendungen, Anwendungsadministratoren, Benutzern und Verwaltungsanwendungen den Zugriff auf Trident-Objektdefinitionen oder die Pods zu verwehren, um eine zuverlässige Speicherung zu gewährleisten und potenziell schädliche Aktivitäten zu verhindern.
Um andere Anwendungen und Benutzer von Trident zu trennen, installieren Sie Trident immer in einem eigenen Kubernetes-Namespace (trident). Wenn Trident in einem eigenen Namespace installiert wird, wird sichergestellt, dass nur das Kubernetes-Administrationspersonal Zugriff auf den Trident-Pod und die in den Namespaced-CRD-Objekten gespeicherten Artefakte (wie Backend- und CHAP-Secrets, falls zutreffend) hat. Sie sollten sicherstellen, dass nur Administratoren Zugriff auf den Trident-Namespace und damit auf die tridentctl Anwendung haben.
CHAP Authentifizierung mit ONTAP SAN-Backends verwenden
Trident unterstützt CHAP-basierte Authentifizierung für ONTAP SAN-Workloads (unter Verwendung der ontap-san und ontap-san-economy Treiber). NetApp empfiehlt die Verwendung von bidirektionalem CHAP mit Trident für die Authentifizierung zwischen einem Host und dem Storage-Backend.
Für ONTAP-Backends, die die SAN-Speichertreiber verwenden, kann Trident bidirektionales CHAP einrichten und CHAP-Benutzernamen und -Geheimnisse über tridentctl verwalten. Siehe "Bereiten Sie die Konfiguration des Backends mit ONTAP SAN-Treibern vor", um zu verstehen, wie Trident CHAP auf ONTAP-Backends konfiguriert.
Verwenden Sie die CHAP-Authentifizierung mit NetApp HCI und SolidFire Backends
NetApp empfiehlt die Bereitstellung von bidirektionalem CHAP, um die Authentifizierung zwischen einem Host und den NetApp HCI- und SolidFire-Backends sicherzustellen. Trident verwendet ein Secret-Objekt, das zwei CHAP-Passwörter pro Mandant enthält. Wenn Trident installiert ist, verwaltet es die CHAP-Secrets und speichert sie in einem tridentvolume CR-Objekt für das jeweilige PV. Wenn Sie ein PV erstellen, verwendet Trident die CHAP-Secrets, um eine iSCSI-Sitzung zu initiieren und über CHAP mit dem NetApp HCI- und SolidFire-System zu kommunizieren.
|
Die Volumes, die von Trident erstellt werden, sind keiner Volume-Zugriffsgruppe zugeordnet. |
Verwenden Sie Trident mit NVE und NAE
NetApp ONTAP bietet Verschlüsselung ruhender Daten, um sensible Daten im Falle von Diebstahl, Rückgabe oder anderweitiger Verwendung einer Festplatte zu schützen. Weitere Informationen finden Sie unter "Konfigurieren Sie die Übersicht zur NetApp Volume Encryption".
-
Wenn NAE im Backend aktiviert ist, wird jedes in Trident bereitgestellte Volume NAE-fähig sein.
-
Sie können das NVE-Verschlüsselungsflag auf
""setzen, um NAE-fähige Volumes zu erstellen.
-
-
Wenn NAE auf dem Backend nicht aktiviert ist, wird jedes in Trident bereitgestellte Volume NVE-fähig sein, es sei denn, das NVE-Verschlüsselungsflag ist auf
false(den Standardwert) in der Backend-Konfiguration gesetzt.
|
|
Volumes, die in Trident auf einem NAE-fähigen Backend erstellt wurden, müssen NVE- oder NAE-verschlüsselt sein.
|
-
Sie können ein NVE-Volume in Trident manuell erstellen, indem Sie das NVE-Verschlüsselungsflag explizit auf
truesetzen.
Weitere Informationen zu den Backend-Konfigurationsoptionen finden Sie unter: