Seguridad
Utilice las recomendaciones que se enumeran aquí para asegurarse de que su instalación de Astra Trident es segura.
Ejecute Astra Trident en su propio espacio de nombres
Es importante evitar que las aplicaciones, los administradores de aplicaciones, los usuarios y las aplicaciones de gestión accedan a las definiciones de objetos de Astra Trident o a los pods para garantizar un almacenamiento fiable y bloquear la potencial actividad maliciosa.
Para separar el resto de aplicaciones y usuarios de Astra Trident, instale siempre Astra Trident en su propio espacio de nombres Kubernetes (trident
). Si coloca Astra Trident en su propio espacio de nombres, solo el personal administrativo de Kubernetes tiene acceso al pod de la Astra Trident y los artefactos (como los secretos CHAP y de back-end, si corresponde) almacenados en los objetos de CRD named. Debe asegurarse de permitir que solo los administradores tengan acceso al espacio de nombres de Astra Trident y, por lo tanto, tengan acceso a tridentctl
cliente más.
Utilice la autenticación CHAP con los back-ends DE SAN de ONTAP
Astra Trident admite la autenticación basada en CHAP para las cargas de trabajo SAN de ONTAP (mediante el ontap-san
y.. ontap-san-economy
de windows). NetApp recomienda utilizar CHAP bidireccional con Astra Trident para la autenticación entre un host y el back-end de almacenamiento.
En el caso de los back-ends de ONTAP que utilizan controladores de almacenamiento SAN, Astra Trident puede configurar CHAP bidireccional y gestionar los nombres de usuario y los secretos CHAP a través de tridentctl
. Consulte "aquí" Para comprender cómo Astra Trident configura CHAP en los back-ends de ONTAP.
La compatibilidad CON CHAP para los back-ends de ONTAP está disponible con Trident 20.04 y versiones posteriores. |
Utilice la autenticación CHAP con NetApp HCI y back-ends de SolidFire
NetApp recomienda poner en marcha CHAP bidireccional para garantizar la autenticación entre un host y los back-ends de NetApp HCI y SolidFire. Astra Trident utiliza un objeto secreto que incluye dos contraseñas CHAP por inquilino. Cuando Trident se instala como aprovisionador CSI, gestiona los secretos CHAP y los almacena en un tridentvolume
Objeto CR para el PV correspondiente. Cuando se crea un VP, CSI Astra Trident utiliza los secretos CHAP para iniciar una sesión iSCSI y comunicarse con el sistema NetApp HCI y SolidFire a través de CHAP.
Los volúmenes creados por CSI Trident no están asociados con ningún grupo de acceso de volúmenes. |
En el frontend que no sea CSI, Kubernetes gestiona la conexión de volúmenes como dispositivos en los nodos de trabajo. Tras crear un volumen, Astra Trident realiza una llamada API al sistema HCI/SolidFire de NetApp para recuperar los secretos si ese secreto no existe ya. A continuación, Astra Trident pasa los secretos a Kubernetes. La kuelet que se encuentra en cada nodo accede a los secretos a través de la API de Kubernetes y los utiliza para ejecutar y habilitar CHAP entre cada nodo que accede al volumen y el sistema HCI/SolidFire de NetApp donde están ubicados los volúmenes.
Utilice Astra Trident con NVE y NAE
ONTAP de NetApp proporciona cifrado de datos en reposo para proteger los datos confidenciales en el caso de robo, devolución o reasignación de un disco. Para obtener más información, consulte "Configure la información general de cifrado de volúmenes de NetApp".
-
Si NAE está habilitado en el back-end, cualquier volumen aprovisionado en Astra Trident se habilitará para NAE.
-
Si NAE no está habilitado en el back-end, todos los volúmenes aprovisionados en Astra Trident tendrán el cifrado NVE habilitado a menos que establezca el indicador NVE en
false
en la configuración de back-end.
Los volúmenes que se crean en Astra Trident en un back-end con la NAE habilitada deben ser NVE o NAE cifrados.
|
-
Es posible crear manualmente un volumen NVE en Astra Trident mediante la definición explícita de la Marca NVE a.
true
.
Para obtener más información sobre las opciones de configuración del back-end, consulte:
Habilitar el cifrado por volumen en el lado del host mediante Unified Key Setup (LUKS) de Linux
Puede habilitar Unified Key Setup (LUKS) de Linux para cifrar los volúmenes DE ECONOMÍA SAN de ONTAP y SAN DE ONTAP en Astra Trident. En Astra Trident, los volúmenes cifrados por LUKS utilizan el cifer y el modo AES-xts-Capellanía, como recomienda "NIST".
Para obtener más información sobre las opciones de configuración del back-end para SAN de ONTAP, consulte "Opciones de configuración DE SAN de ONTAP"
-
Los nodos de trabajo deben tener instalado cryptsetup 2.1 o superior. Si desea más información, visite "Gitlab: Cryptsetup".
-
Por motivos de rendimiento, recomendamos que los nodos de trabajo admitan las nuevas instrucciones estándar de cifrado avanzado (AES-ni). Para verificar el soporte de AES-ni, ejecute el siguiente comando:
grep "aes" /proc/cpuinfo
Si no se devuelve nada, su procesador no admite AES-ni. Para obtener más información sobre AES-ni, visite: "Intel: Instrucciones estándar de cifrado avanzado (AES-ni)".
-
Defina los atributos de cifrado LUKS en la configuración de backend.
"storage": [ { "labels":{"luks": "true"}, "zone":"us_east_1a", "defaults": { "luksEncryption": "true" } }, { "labels":{"luks": "false"}, "zone":"us_east_1a", "defaults": { "luksEncryption": "false" } }, ]
-
Uso
parameters.selector
Para definir los pools de almacenamiento mediante el cifrado LUKS. Por ejemplo:apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: luks provisioner: netapp.io/trident parameters: selector: "luks=true" csi.storage.k8s.io/node-stage-secret-name: luks-${pvc.name} csi.storage.k8s.io/node-stage-secret-namespace: ${pvc.namespace}
-
Cree un secreto que contenga la frase de paso LUKS. Por ejemplo:
apiVersion: v1 kind: Secret metadata: name: luks-pvc1 stringData: luks-passphrase-name: B luks-passphrase: secretB previous-luks-passphrase-name: A previous-luks-passphrase: secretA
Limitaciones
-
LOS volúmenes cifrados LUKS no podrán aprovechar la deduplicación y la compresión de ONTAP.
-
LA rotación DE la frase DE paso LUKS no es compatible en este momento. Para cambiar las passphrases, copie manualmente los datos de un PVC a otro.