Seguridad
Utilice las recomendaciones que se enumeran aquí para asegurarse de que su instalación de Astra Trident es segura.
Ejecute Astra Trident en su propio espacio de nombres
Es importante evitar que las aplicaciones, los administradores de aplicaciones, los usuarios y las aplicaciones de gestión accedan a las definiciones de objetos de Astra Trident o a los pods para garantizar un almacenamiento fiable y bloquear la potencial actividad maliciosa.
Para separar el resto de aplicaciones y usuarios de Astra Trident, instale siempre Astra Trident en su propio espacio de nombres Kubernetes (trident
). Si coloca Astra Trident en su propio espacio de nombres, solo el personal administrativo de Kubernetes tiene acceso al pod de la Astra Trident y los artefactos (como los secretos CHAP y de back-end, si corresponde) almacenados en los objetos de CRD named.
Debe asegurarse de permitir que solo los administradores tengan acceso al espacio de nombres de Astra Trident y, por lo tanto, tengan acceso a tridentctl
cliente más.
Utilice la autenticación CHAP con los back-ends DE SAN de ONTAP
Astra Trident admite la autenticación basada en CHAP para las cargas de trabajo SAN de ONTAP (mediante el ontap-san
y.. ontap-san-economy
de windows). NetApp recomienda utilizar CHAP bidireccional con Astra Trident para la autenticación entre un host y el back-end de almacenamiento.
En el caso de los back-ends de ONTAP que utilizan controladores de almacenamiento SAN, Astra Trident puede configurar CHAP bidireccional y gestionar los nombres de usuario y los secretos CHAP a través de tridentctl
.
Consulte "aquí" Para comprender cómo Astra Trident configura CHAP en los back-ends de ONTAP.
Utilice la autenticación CHAP con NetApp HCI y back-ends de SolidFire
NetApp recomienda poner en marcha CHAP bidireccional para garantizar la autenticación entre un host y los back-ends de NetApp HCI y SolidFire. Astra Trident utiliza un objeto secreto que incluye dos contraseñas CHAP por inquilino. Cuando se instala Astra Trident, gestiona los secretos CHAP y los almacena en tridentvolume
Objeto CR para el PV correspondiente. Al crear un VP, Astra Trident utiliza los secretos de CHAP para iniciar una sesión iSCSI y comunicarse con el sistema NetApp HCI y SolidFire a través de CHAP.
Los volúmenes que crea Astra Trident no están asociados con ningún grupo de acceso de volumen. |
Utilice Astra Trident con NVE y NAE
ONTAP de NetApp proporciona cifrado de datos en reposo para proteger los datos confidenciales en el caso de robo, devolución o reasignación de un disco. Para obtener más información, consulte "Configure la información general de cifrado de volúmenes de NetApp".
-
Si NAE está habilitado en el back-end, cualquier volumen aprovisionado en Astra Trident se habilitará para NAE.
-
Si NAE no está habilitado en el back-end, todos los volúmenes aprovisionados en Astra Trident tendrán el cifrado NVE habilitado a menos que establezca el indicador NVE en
false
en la configuración de back-end.
Los volúmenes que se crean en Astra Trident en un back-end con la NAE habilitada deben ser NVE o NAE cifrados.
|
-
Es posible crear manualmente un volumen NVE en Astra Trident mediante la definición explícita de la Marca NVE a.
true
.
Para obtener más información sobre las opciones de configuración del back-end, consulte: