보안
변경 제안
PDF
여기에 나열된 권장 사항을 사용하여 Trident 설치의 보안을 확보하십시오.
Trident를 자체 네임스페이스에서 실행합니다
안정적인 스토리지를 보장하고 잠재적인 악의적 활동을 차단하려면 애플리케이션, 애플리케이션 관리자, 사용자 및 관리 애플리케이션이 Trident 객체 정의 또는 Pod에 액세스하는 것을 방지하는 것이 중요합니다.
다른 애플리케이션 및 사용자와 Trident를 분리하려면 항상 Trident를 자체 Kubernetes 네임스페이스에 설치하십시오(trident. Trident를 자체 네임스페이스에 배치하면 Kubernetes 관리 담당자만 Trident Pod 및 네임스페이스 CRD 객체에 저장된 아티팩트(해당하는 경우 백엔드 및 CHAP 암호)에 액세스할 수 있습니다. 관리자만 Trident 네임스페이스에 액세스하여 tridentctl 애플리케이션에 액세스할 수 있도록 해야 합니다.
ONTAP SAN 백엔드에서 CHAP 인증을 사용하십시오
Trident는 ONTAP SAN 워크로드에 대해 CHAP 기반 인증을 지원합니다( ontap-san 및 ontap-san-economy 드라이버 사용). NetApp은 호스트와 스토리지 백엔드 간의 인증을 위해 Trident와 함께 양방향 CHAP를 사용하는 것을 권장합니다.
SAN 스토리지 드라이버를 사용하는 ONTAP 백엔드의 경우 Trident는 `tridentctl`를 통해 양방향 CHAP를 설정하고 CHAP 사용자 이름과 암호를 관리할 수 있습니다. Trident가 ONTAP 백엔드에서 CHAP를 구성하는 방법을 이해하려면"ONTAP SAN 드라이버를 사용하여 백엔드를 구성할 준비를 하십시오"를 참조하십시오.
NetApp HCI 및 SolidFire 백엔드에서 CHAP 인증을 사용하십시오
NetApp에서는 호스트와 NetApp HCI 및 SolidFire 백엔드 간의 인증을 보장하기 위해 양방향 CHAP 배포를 권장합니다. Trident는 테넌트당 두 개의 CHAP 암호를 포함하는 secret 객체를 사용합니다. Trident가 설치되면 CHAP secret을 관리하고 해당 PV에 대한 tridentvolume CR 객체에 저장합니다. PV를 생성하면 Trident는 CHAP secret을 사용하여 iSCSI 세션을 시작하고 CHAP를 통해 NetApp HCI 및 SolidFire 시스템과 통신합니다.
|
Trident에서 생성한 볼륨은 어떤 볼륨 액세스 그룹과도 연결되지 않습니다. |
NVE 및 NAE와 함께 Trident 사용
NetApp ONTAP는 디스크가 도난당하거나 반환되거나 용도가 변경될 경우 중요한 데이터를 보호하기 위해 저장 데이터 암호화를 제공합니다. 자세한 내용은 "NetApp Volume Encryption 구성 개요"를 참조하십시오.
-
백엔드에서 NAE가 활성화된 경우 Trident에서 프로비저닝된 모든 볼륨은 NAE가 활성화됩니다.
-
NVE encryption 플래그를 `""`로 설정하여 NAE 지원 볼륨을 생성할 수 있습니다.
-
-
백엔드에서 NAE가 활성화되지 않은 경우 백엔드 구성에서 NVE 암호화 플래그가
false(기본값)로 설정되지 않는 한 Trident에서 프로비저닝된 모든 볼륨은 NVE가 활성화됩니다.
|
|
NAE가 활성화된 백엔드에서 Trident로 생성된 볼륨은 NVE 또는 NAE로 암호화되어야 합니다.
|
-
Trident에서 NVE 암호화 플래그를 명시적으로 `true`로 설정하여 수동으로 NVE 볼륨을 생성할 수 있습니다.
백엔드 구성 옵션에 대한 자세한 내용은 다음을 참조하십시오.