安全性
請使用此處列出的建議、確保您的Astra Trident安裝安全無虞。
在自己的命名空間中執行Astra Trident
防止應用程式、應用程式管理員、使用者及管理應用程式存取Astra Trident物件定義或Pod、以確保可靠的儲存並封鎖潛在的惡意活動、這一點非常重要。
若要將其他應用程式和使用者與Astra Trident區隔開、請務必在自己的Kubernetes命名空間中安裝Astra Trident (trident
)。將Astra Trident放在自己的命名空間中、可確保只有Kubernetes管理人員能夠存取Astra Trident Pod、以及儲存在命名式CRD物件中的成品(例如後端和CHAP機密)。
您應確保只允許系統管理員存取Astra Trident命名空間、進而存取 tridentctl
應用程式:
使用CHAP驗證搭配ONTAP 使用支援SAN的功能
Astra Trident支援ONTAP 以CHAP為基礎的驗證功能、適用於各種不實的SAN工作負載(使用 ontap-san
和 ontap-san-economy
驅動程式)。NetApp建議使用雙向CHAP搭配Astra Trident進行主機與儲存後端之間的驗證。
針對使用SAN儲存驅動程式的幕後作業、Astra Trident可設定雙向CHAP、並透過管理CHAP使用者名稱和機密ONTAP tridentctl
。
請參閱 "" 瞭解Astra Trident如何在ONTAP 不景點上設定CHAP。
使用CHAP驗證NetApp HCI 搭配不景和SolidFire 不景的後端
NetApp建議部署雙向CHAP、以確保主機與NetApp HCI 支援功能及SolidFire 支援功能之間的驗證。Astra Trident使用每個租戶包含兩個CHAP密碼的秘密物件。安裝 Astra Trident 時、它會管理 CHAP 機密、並將其儲存在中 tridentvolume
對應PV的CR物件。建立 PV 時、 Astra Trident 會使用 CHAP 機密來啟動 iSCSI 工作階段、並透過 CHAP 與 NetApp HCI 和 SolidFire 系統通訊。
Astra Trident 所建立的磁碟區不會與任何 Volume Access Group 相關聯。 |
使用Astra Trident搭配NVE和NAE
NetApp ONTAP 支援閒置資料加密、可在磁碟遭竊、退回或重新使用時、保護敏感資料。如需詳細資訊、請參閱 "設定NetApp Volume Encryption總覽"。
-
如果在後端啟用NAE、則Astra Trident中配置的任何磁碟區都將啟用NAE。
-
如果後端未啟用NAE、則在Astra Trident中配置的任何Volume都會啟用NVE、除非您將NVE加密旗標設為
false
在後端組態中。
在啟用NAE的後端Astra Trident中建立的磁碟區、必須加密NVE或NAE。
|
-
您可以在Astra Trident中手動建立NVE磁碟區、方法是將NVE加密旗標明確設定為
true
。
如需後端組態選項的詳細資訊、請參閱: