アプリケーション、アプリケーション管理者、ユーザ、および管理アプリケーションが Astra Trident オブジェクト定義またはポッドにアクセスしないようにして、信頼性の高いストレージを確保し、悪意のあるアクティビティをブロックすることが重要です。

他のアプリケーションやユーザをAstra Tridentから分離するには、必ず独自のKubernetesネームスペースにAstra Tridentをインストールして(trident`ください）。Astra Trident を独自の名前空間に配置することで、 Kubernetes 管理担当者のみが Astra Trident ポッドにアクセスでき、名前空間 CRD オブジェクトに格納されたアーティファクト（バックエンドや CHAP シークレット（該当する場合）にアクセスできるようになります。Astra Tridentネームスペースへのアクセスは管理者のみに許可し、アプリケーションへのアクセスを許可する必要があります `tridentctl。

Astra Tridentでは、ONTAP SANワークロードのCHAPベースの認証がサポートされます（ドライバと ontap-san-economy`ドライバを使用 `ontap-san）。ネットアップでは、ホストとストレージバックエンドの間の認証に、双方向 CHAP と Astra Trident を使用することを推奨しています。

SANストレージドライバを使用するONTAPバックエンドの場合は、Astra Tridentで双方向CHAPを設定し、でCHAPのユーザ名とシークレットを管理できます tridentctl。Astra TridentがONTAPバックエンドでCHAPを設定する方法については、を参照してください""。

ホストと NetApp HCI バックエンドと SolidFire バックエンドの間の認証を確保するために、双方向の CHAP を導入することを推奨します。Astra Trident は、テナントごとに 2 つの CHAP パスワードを含むシークレットオブジェクトを使用します。インストールされたAstra Tridentは、CHAPシークレットを管理し、それぞれのPVのCRオブジェクトに格納し `tridentvolume`ます。PVを作成すると、Astra TridentはCHAPシークレットを使用してiSCSIセッションを開始し、CHAPを介してNetApp HCIおよびSolidFireシステムと通信します。

NetApp ONTAP は、保管データの暗号化を提供し、ディスクが盗難、返却、転用された場合に機密データを保護します。詳細については、を参照してください "NetAppボリューム暗号化の設定の概要"。

バックエンド構成オプションの詳細については、以下を参照してください。