Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Seguridad

Colaboradores netapp-aruldeepa
PDF

Siga las recomendaciones que se enumeran aquí para garantizar la seguridad de su instalación de Trident .

Ejecutar Trident en su propio espacio de nombres.

Es importante impedir que las aplicaciones, los administradores de aplicaciones, los usuarios y las aplicaciones de gestión accedan a las definiciones de objetos de Trident o a los pods para garantizar un almacenamiento fiable y bloquear posibles actividades maliciosas.

Para separar las demás aplicaciones y usuarios de Trident, instale siempre Trident en su propio espacio de nombres de Kubernetes.(trident ). Al colocar Trident en su propio espacio de nombres, se garantiza que solo el personal administrativo de Kubernetes tenga acceso al pod de Trident y a los artefactos (como los secretos de backend y CHAP, si corresponde) almacenados en los objetos CRD con espacio de nombres. Debe asegurarse de permitir únicamente a los administradores el acceso al espacio de nombres de Trident y, por lo tanto, el acceso a tridentctl solicitud.

Utilice la autenticación CHAP con los backends SAN de ONTAP.

Trident admite la autenticación basada en CHAP para cargas de trabajo SAN de ONTAP (utilizando el ontap-san y ontap-san-economy conductores). NetApp recomienda utilizar CHAP bidireccional con Trident para la autenticación entre un host y el backend de almacenamiento.

Para los backends ONTAP que utilizan los controladores de almacenamiento SAN, Trident puede configurar CHAP bidireccional y administrar los nombres de usuario y secretos de CHAP a través de tridentctl . Referirse a"Prepárese para configurar el backend con los controladores SAN de ONTAP." Para comprender cómo Trident configura CHAP en los sistemas backend de ONTAP .

Utilice la autenticación CHAP con los sistemas backend NetApp HCI y SolidFire.

NetApp recomienda implementar CHAP bidireccional para garantizar la autenticación entre un host y los backends de NetApp HCI y SolidFire . Trident utiliza un objeto secreto que incluye dos contraseñas CHAP por inquilino. Cuando se instala Trident , gestiona los secretos CHAP y los almacena en un tridentvolume Objeto CR para el PV correspondiente. Cuando se crea un PV, Trident utiliza los secretos CHAP para iniciar una sesión iSCSI y comunicarse con el sistema NetApp HCI y SolidFire a través de CHAP.

Nota Los volúmenes creados por Trident no están asociados a ningún grupo de acceso a volúmenes.

Utilice Trident con NVE y NAE

NetApp ONTAP proporciona cifrado de datos en reposo para proteger los datos confidenciales en caso de que un disco sea robado, devuelto o reutilizado. Para más detalles, consulte"Descripción general de la configuración de NetApp Volume Encryption" .

  • Si NAE está habilitado en el backend, cualquier volumen aprovisionado en Trident estará habilitado para NAE.

    • Puedes configurar la bandera de cifrado NVE a "" para crear volúmenes compatibles con NAE.

  • Si NAE no está habilitado en el backend, cualquier volumen aprovisionado en Trident tendrá NVE habilitado a menos que la bandera de cifrado NVE esté configurada en false (el valor predeterminado) en la configuración del backend.

Nota

Los volúmenes creados en Trident en un backend habilitado para NAE deben estar cifrados con NVE o NAE.

  • Puedes configurar la bandera de cifrado NVE a true en la configuración del backend de Trident para anular el cifrado NAE y usar una clave de cifrado específica por volumen.

  • Configurar la bandera de cifrado NVE a false En un backend habilitado para NAE se crea un volumen habilitado para NAE. No se puede deshabilitar el cifrado NAE configurando la bandera de cifrado NVE en false .

  • Puede crear manualmente un volumen NVE en Trident configurando explícitamente la bandera de cifrado NVE a true .

Para obtener más información sobre las opciones de configuración del backend, consulte: