防止应用程序、应用程序管理员、用户和管理应用程序访问Trident对象定义或 pod 非常重要，以确保可靠的存储并阻止潜在的恶意活动。

为了将其他应用程序和用户与Trident隔离，请始终将Trident安装在其自身的 Kubernetes 命名空间中。(trident ）。将Trident放在自己的命名空间中，可以确保只有 Kubernetes 管理员才能访问Trident pod 和存储在命名空间 CRD 对象中的工件（例如后端和 CHAP 密钥，如果适用）。您应该确保只有管理员才能访问Trident命名空间，从而获得对以下方面的访问权限： `tridentctl`应用。

Trident支持基于 CHAP 的ONTAP SAN 工作负载身份验证（使用 `ontap-san`和 `ontap-san-economy`司机）。 NetApp建议使用Trident的双向 CHAP 进行主机与存储后端之间的身份验证。

对于使用 SAN 存储驱动程序的ONTAP后端， Trident可以通过以下方式设置双向 CHAP 并管理 CHAP 用户名和密钥： tridentctl 。请参阅"准备配置后端ONTAP SAN 驱动程序"了解Trident如何在ONTAP后端配置 CHAP。

NetApp建议部署双向 CHAP，以确保主机与NetApp HCI和SolidFire后端之间的身份验证。 Trident使用一个包含每个租户两个 CHAP 密码的秘密对象。安装Trident后，它会管理 CHAP 密钥并将其存储在一个位置。 `tridentvolume`相应 PV 的 CR 对象。创建 PV 时， Trident使用 CHAP 密钥启动 iSCSI 会话，并通过 CHAP 与NetApp HCI和SolidFire系统通信。

NetApp ONTAP提供静态数据加密，以保护敏感数据，防止磁盘被盗、退回或重新利用。有关详细信息，请参阅"配置NetApp卷加密概述"。

有关后端配置选项的更多信息，请参阅：