信頼性の高いストレージを確保し、潜在的な悪意のあるアクティビティをブロックするには、アプリケーション、アプリケーション管理者、ユーザー、および管理アプリケーションがTridentオブジェクト定義またはポッドにアクセスできないようにすることが重要です。

他のアプリケーションやユーザーをTridentから分離するには、常にTrident を独自の Kubernetes 名前空間にインストールします。(trident ）。 Trident を独自の名前空間に配置すると、Kubernetes 管理担当者だけがTridentポッドと、名前空間の CRD オブジェクトに保存されている成果物 (該当する場合はバックエンドや CHAP シークレットなど) にアクセスできるようになります。管理者のみがTrident名前空間にアクセスできるようにし、 `tridentctl`応用。

TridentはONTAP SANワークロードのCHAPベースの認証をサポートします（ `ontap-san`そして `ontap-san-economy`ドライバー)。 NetApp、ホストとストレージ バックエンド間の認証に、 Tridentを使用した双方向 CHAP を使用することを推奨しています。

SANストレージドライバを使用するONTAPバックエンドの場合、 Tridentは双方向CHAPを設定し、CHAPのユーザー名とシークレットを管理できます。 tridentctl 。参照"ONTAP SAN ドライバーを使用してバックエンドを構成する準備をする"Trident がONTAPバックエンドで CHAP を設定する方法を理解します。

NetApp、ホストとNetApp HCIおよびSolidFireバックエンド間の認証を確実にするために、双方向 CHAP を導入することを推奨しています。 Trident は、テナントごとに 2 つの CHAP パスワードを含む秘密オブジェクトを使用します。 Tridentがインストールされると、CHAPシークレットを管理し、それを `tridentvolume`それぞれの PV の CR オブジェクト。 PV を作成すると、 Trident はCHAP シークレットを使用して iSCSI セッションを開始し、CHAP 経由でNetApp HCIおよびSolidFireシステムと通信します。

NetApp ONTAP は、ディスクが盗難、返却、または再利用された場合に機密データを保護するために、保存データの暗号化を提供します。詳細については、"NetApp Volume Encryptionの設定 - 概要" 。

バックエンド構成オプションの詳細については、以下を参照してください。