Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurité

Contributeurs netapp-aruldeepa
PDF

Suivez les recommandations ci-dessous pour garantir la sécurité de votre installation Trident .

Exécutez Trident dans son propre espace de noms

Il est important d'empêcher les applications, les administrateurs d'applications, les utilisateurs et les applications de gestion d'accéder aux définitions d'objets Trident ou aux pods afin de garantir un stockage fiable et de bloquer toute activité malveillante potentielle.

Pour séparer les autres applications et utilisateurs de Trident, installez toujours Trident dans son propre espace de noms Kubernetes.(trident ). Placer Trident dans son propre espace de noms garantit que seul le personnel administratif de Kubernetes a accès au pod Trident et aux artefacts (tels que les secrets backend et CHAP, le cas échéant) stockés dans les objets CRD de l'espace de noms. Vous devez vous assurer que seuls les administrateurs ont accès à l'espace de noms Trident et donc à l'accès à tridentctl application.

Utilisez l'authentification CHAP avec les backends SAN ONTAP.

Trident prend en charge l'authentification basée sur CHAP pour les charges de travail ONTAP SAN (en utilisant le ontap-san et ontap-san-economy conducteurs). NetApp recommande l'utilisation du protocole CHAP bidirectionnel avec Trident pour l'authentification entre un hôte et le système de stockage dorsal.

Pour les backends ONTAP utilisant les pilotes de stockage SAN, Trident peut configurer un protocole CHAP bidirectionnel et gérer les noms d'utilisateur et les secrets CHAP via tridentctl . Se référer à"Préparez-vous à configurer le backend avec les pilotes SAN ONTAP" pour comprendre comment Trident configure CHAP sur les backends ONTAP .

Utilisez l'authentification CHAP avec les backends NetApp HCI et SolidFire.

NetApp recommande le déploiement du protocole CHAP bidirectionnel pour garantir l'authentification entre un hôte et les serveurs dorsaux NetApp HCI et SolidFire . Trident utilise un objet secret qui inclut deux mots de passe CHAP par locataire. Lors de son installation, Trident gère les secrets CHAP et les stocke dans un tridentvolume Objet CR pour le PV respectif. Lorsque vous créez un PV, Trident utilise les secrets CHAP pour initier une session iSCSI et communiquer avec le système NetApp HCI et SolidFire via CHAP.

Remarque Les volumes créés par Trident ne sont associés à aucun groupe d'accès aux volumes.

Utilisez Trident avec NVE et NAE

NetApp ONTAP assure le chiffrement des données au repos afin de protéger les données sensibles en cas de vol, de retour ou de réutilisation d'un disque. Pour plus de détails, reportez-vous à"Présentation de la configuration du chiffrement de volume NetApp" .

  • Si NAE est activé sur le système dorsal, tout volume provisionné dans Trident sera compatible NAE.

    • Vous pouvez définir l'indicateur de chiffrement NVE sur "" pour créer des volumes compatibles NAE.

  • Si NAE n'est pas activé sur le système dorsal, tout volume provisionné dans Trident sera compatible NVE, sauf si l'indicateur de chiffrement NVE est défini sur false (la valeur par défaut) dans la configuration du backend.

Remarque

Les volumes créés dans Trident sur un backend compatible NAE doivent être chiffrés NVE ou NAE.

  • Vous pouvez définir l'indicateur de chiffrement NVE sur true dans la configuration du backend Trident pour remplacer le chiffrement NAE et utiliser une clé de chiffrement spécifique pour chaque volume.

  • Définir l'indicateur de chiffrement NVE sur false sur un backend compatible NAE crée un volume compatible NAE. Vous ne pouvez pas désactiver le chiffrement NAE en définissant l'indicateur de chiffrement NVE sur false .

  • Vous pouvez créer manuellement un volume NVE dans Trident en définissant explicitement l'indicateur de chiffrement NVE sur true .

Pour plus d'informations sur les options de configuration du backend, consultez :