É importante impedir que aplicações, administradores de aplicações, usuários e aplicações de gerenciamento acessem as definições de objetos do Astra Trident ou os pods para garantir um storage confiável e bloquear atividades maliciosas em potencial.

Para separar as outras aplicações e usuários do Astra Trident, instale sempre o Astra Trident em seu próprio namespace Kubernetes (trident). A colocação do Astra Trident em seu próprio namespace garante que apenas o pessoal administrativo do Kubernetes tenha acesso ao pod Astra Trident e aos artefatos (como segredos de back-end e CHAP, se aplicável) armazenados nos objetos CRD com namespaces. Você deve garantir que somente os administradores acessem o namespace Astra Trident e, assim, o acesso tridentctl à aplicação.

O Astra Trident é compatível com autenticação baseada em CHAP para workloads SAN ONTAP (usando os ontap-san drivers e ontap-san-economy ). A NetApp recomenda o uso de CHAP bidirecional com Astra Trident para autenticação entre um host e o back-end de storage.

Para backends ONTAP que usam os drivers de armazenamento SAN, o Astra Trident pode configurar CHAP bidirecional e gerenciar nomes de usuário e segredos do CHAP por meio `tridentctl`do . Veja "aqui" para entender como o Astra Trident configura o CHAP nos backends do ONTAP.

O NetApp recomenda a implantação de CHAP bidirecional para garantir a autenticação entre um host e os backends NetApp HCI e SolidFire. O Astra Trident usa um objeto secreto que inclui duas senhas CHAP por locatário. Quando o Trident é instalado como um provisionador CSI, ele gerencia os segredos CHAP e os armazena em um tridentvolume objeto CR para o respetivo PV. Quando você cria um PV, o CSI Astra Trident usa os segredos CHAP para iniciar uma sessão iSCSI e se comunicar com o sistema NetApp HCI e SolidFire através do CHAP.

No frontend não-CSI, a vinculação de volumes como dispositivos nos nós de trabalho é tratada pelo Kubernetes. Após a criação de volume, o Astra Trident faz uma chamada de API para o sistema NetApp HCI/SolidFire para recuperar os segredos se o segredo para esse locatário ainda não existir. Em seguida, o Astra Trident passa os segredos para o Kubernetes. O kubelet localizado em cada nó acessa os segredos por meio da API do Kubernetes e os usa para executar/habilitar o CHAP entre cada nó acessando o volume e o sistema NetApp HCI/SolidFire onde os volumes estão localizados.