Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Segurança

Colaboradores
PDFs

Use as recomendações listadas aqui para garantir que a instalação do Trident esteja segura.

Execute o Trident em seu próprio namespace

É importante impedir que aplicativos, administradores de aplicações, usuários e aplicativos de gerenciamento acessem as definições de objetos do Trident ou os pods para garantir um storage confiável e bloquear atividades maliciosas em potencial.

Para separar as outras aplicações e usuários do Trident, sempre instale o Trident em seu próprio namespace do Kubernetes (trident). A colocação do Trident em seu próprio namespace garante que somente o pessoal administrativo do Kubernetes tenha acesso ao pod Trident e aos artefatos (como segredos de back-end e CHAP, se aplicável) armazenados nos objetos CRD com namespaces. Você deve garantir que você permita que apenas administradores acessem o namespace Trident e, assim, acessem o tridentctl aplicativo.

Use a autenticação CHAP com backends ONTAP SAN

O Trident é compatível com autenticação baseada em CHAP para cargas de trabalho SAN ONTAP (usando os ontap-san drivers e ontap-san-economy). A NetApp recomenda o uso de CHAP bidirecional com Trident para autenticação entre um host e o back-end de storage.

Para backends ONTAP que usam os drivers de armazenamento SAN, o Trident pode configurar CHAP bidirecional e gerenciar nomes de usuário e segredos do CHAP através `tridentctl`do . "Prepare-se para configurar o back-end com drivers SAN ONTAP"Consulte para compreender como o Trident configura o CHAP nos backends ONTAP.

Use a autenticação CHAP com backends NetApp HCI e SolidFire

O NetApp recomenda a implantação de CHAP bidirecional para garantir a autenticação entre um host e os backends NetApp HCI e SolidFire. O Trident usa um objeto secreto que inclui duas senhas CHAP por locatário. Quando o Trident é instalado, ele gerencia os segredos CHAP e os armazena em um tridentvolume objeto CR para o respetivo PV. Quando você cria um PV, o Trident usa os segredos CHAP para iniciar uma sessão iSCSI e se comunicar com o sistema NetApp HCI e SolidFire através do CHAP.

Observação Os volumes criados pelo Trident não estão associados a nenhum Grupo de Acesso por volume.

Use o Trident com NVE e NAE

O NetApp ONTAP fornece criptografia de dados em repouso para proteger dados confidenciais caso um disco seja roubado, retornado ou reutilizado. Para obter detalhes, "Configurar a visão geral da encriptação de volume do NetApp"consulte .

  • Se o NAE estiver ativado no back-end, qualquer volume provisionado no Trident será habilitado para NAE.

  • Se o NAE não estiver habilitado no back-end, qualquer volume provisionado no Trident será habilitado para NVE, a menos que você defina o sinalizador de criptografia NVE como false na configuração de back-end.

Observação

Os volumes criados no Trident em um back-end habilitado para NAE devem ser criptografados com NVE ou NAE.

  • Você pode definir o sinalizador de criptografia NVE como true na configuração de back-end do Trident para substituir a criptografia NAE e usar uma chave de criptografia específica por volume.

  • Definir o sinalizador de criptografia NVE como false em um back-end habilitado para NAE cria um volume habilitado para NAE. Não é possível desativar a criptografia NAE definindo o sinalizador de criptografia NVE como false.

  • Você pode criar manualmente um volume NVE no Trident definindo explicitamente o sinalizador de criptografia NVE como true.

Para obter mais informações sobre opções de configuração de back-end, consulte: