Skip to main content
이 제품의 최신 릴리즈를 사용할 수 있습니다.
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

보안

기여자 netapp-aruldeepa

여기에 나열된 권장 사항을 사용하여 Trident가 안전하게 설치되었는지 확인하십시오.

자체 네임스페이스에서 Trident 실행

안정적인 스토리지를 확보하고 잠재적 악의적인 활동을 차단하려면 애플리케이션, 애플리케이션 관리자, 사용자 및 관리 애플리케이션이 Trident 오브젝트 정의 또는 포드에 액세스하지 못하도록 방지하는 것이 중요합니다.

Trident에서 다른 애플리케이션과 사용자를 분리하려면 항상 자체 Kubernetes 네임스페이스에 Trident를 (trident`설치해야 합니다.) Trident를 자체 네임스페이스에 배치하면 Kubernetes 관리 담당자만 Trident Pod와 이름 속도의 CRD 개체에 저장된 아티팩트(예: 백엔드 및 CHAP 암호(해당하는 경우)에 액세스할 수 있습니다. 관리자만 Trident 네임스페이스에 액세스하여 응용 프로그램에 액세스할 수 있도록 해야 `tridentctl 합니다.

ONTAP SAN 백엔드에 CHAP 인증을 사용합니다

Trident는 및 ontap-san-economy 드라이버를 사용하여 ONTAP SAN 워크로드에 대한 CHAP 기반 인증을 ontap-san 지원합니다. NetApp에서는 Trident 호스트와 스토리지 백엔드 간의 인증에 양방향 CHAP를 사용할 것을 권장합니다.

SAN 스토리지 드라이버를 사용하는 ONTAP 백엔드의 경우 Trident에서 양방향 CHAP를 설정하고 를 통해 CHAP 사용자 이름 및 암호를 관리할 수 tridentctl 있습니다. Trident가 ONTAP 백엔드에서 CHAP를 구성하는 방법에 대한 자세한 내용은 을 "ONTAP SAN 드라이버를 사용하여 백엔드를 구성할 준비를 합니다"참조하십시오.

NetApp HCI 및 SolidFire 백엔드에서 CHAP 인증을 사용합니다

양방향 CHAP를 구축하여 호스트와 NetApp HCI 및 SolidFire 백엔드 간의 인증을 보장하는 것이 좋습니다. Trident는 테넌트당 두 개의 CHAP 암호를 포함하는 비밀 개체를 사용합니다. Trident가 설치되면 CHAP 암호를 관리하고 tridentvolume 해당 PV에 대한 CR 개체에 저장합니다. PV를 생성할 때 Trident는 CHAP 암호를 사용하여 iSCSI 세션을 시작하고 CHAP를 통해 NetApp HCI 및 SolidFire 시스템과 통신합니다.

참고 Trident에 의해 생성된 볼륨은 볼륨 액세스 그룹과 연결되지 않습니다.

NVE 및 NAE에 Trident를 사용하십시오

NetApp ONTAP는 유휴 데이터 암호화를 제공하여 디스크를 도난, 반환 또는 용도 변경할 때 중요한 데이터를 보호합니다. 자세한 내용은 을 "NetApp 볼륨 암호화 구성 개요"참조하십시오.

  • 백엔드에서 NAE가 활성화된 경우 Trident에서 프로비저닝된 모든 볼륨은 NAE가 사용됩니다.

  • 백엔드에서 NAE가 활성화되지 않은 경우, NVE 암호화 플래그를 백엔드 구성에서 로 설정하지 않으면 Trident에서 프로비저닝된 모든 볼륨이 NVE가 false 활성화됩니다.

참고

NAE 지원 백엔드의 Trident에서 생성된 볼륨은 NVE 또는 NAE로 암호화되어야 합니다.

  • Trident 백엔드 구성에서 NVE 암호화 플래그를 로 설정하여 NAE 암호화를 재정의하고 볼륨 단위로 특정 암호화 키를 사용할 수 있습니다 true.

  • NVE 암호화 플래그를 NAE 지원 백엔드에서 ON으로 false 설정하면 NAE 지원 볼륨이 생성됩니다. NVE 암호화 플래그를 로 설정하여 NAE 암호화를 비활성화할 수 false 없습니다.

  • Trident에서 NVE 암호화 플래그를 로 명시적으로 설정하여 NVE 볼륨을 수동으로 생성할 수 true 있습니다.

백엔드 구성 옵션에 대한 자세한 내용은 다음을 참조하십시오.