Skip to main content
Cloud Volumes ONTAP
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Managen Sie Cloud Volumes ONTAP Verschlüsselungen mit Google Cloud KMS

Beitragende netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDFs

Sie können "Der Verschlüsselungsmanagement-Service (Cloud KMS) der Google Cloud-Plattform"Ihre Cloud Volumes ONTAP Verschlüsselungen in einer über die Google Cloud Platform bereitgestellten Applikation schützen.

Verschlüsselungsmanagement mit Cloud KMS kann über die ONTAP-CLI oder die ONTAP REST-API aktiviert werden.

Bei der Verwendung von Cloud KMS ist zu beachten, dass standardmäßig die LIF einer Daten-SVM verwendet wird, um mit dem Endpunkt des Cloud-Schlüsselmanagements zu kommunizieren. Zur Kommunikation mit den Authentifizierungsservices des Cloud-Providers wird ein Node-Managementnetzwerk verwendet (oauth2.googleapis.com). Wenn das Cluster-Netzwerk nicht korrekt konfiguriert ist, nutzt das Cluster den Verschlüsselungsmanagementservice nicht ordnungsgemäß.

Bevor Sie beginnen

  • Auf Ihrem System sollte Cloud Volumes ONTAP 9.10.1 oder höher ausgeführt werden.

  • Sie müssen eine Daten-SVM verwenden. Cloud KMS kann nur auf einer Daten-SVM konfiguriert werden.

  • Sie müssen ein Cluster- oder SVM-Administrator sein

  • Die Volume Encryption (VE)-Lizenz sollte auf der SVM installiert werden

  • Ab Cloud Volumes ONTAP 9.12.1 GA sollte auch die Multi-Tenant Encryption Key Management (MTEKM)-Lizenz installiert werden

  • Ein aktives Google Cloud Platform-Abonnement ist erforderlich

Konfiguration

Google Cloud

  1. In Ihrer Google Cloud-Umgebung "Erstellen Sie einen symmetrischen GCP-Schlüsselring und -Schlüssel".

  2. Weisen Sie dem Cloud KMS-Schlüssel und dem Cloud Volumes ONTAP-Dienstkonto eine benutzerdefinierte Rolle zu.

    1. Erstellen Sie die benutzerdefinierte Rolle:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Weisen Sie die von Ihnen erstellte benutzerdefinierte Rolle zu:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Hinweis Wenn Sie Cloud Volumes ONTAP 9.13.0 oder höher verwenden, müssen Sie keine benutzerdefinierte Rolle erstellen. Sie können die vordefinierten [cloudkms.cryptoKeyEncrypterDecrypter ^] Rolle.

  3. Service-Konto-JSON-Schlüssel herunterladen:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Stellen Sie eine Verbindung zur Cluster-Management-LIF mit dem bevorzugten SSH-Client her.

  2. Wechseln zur erweiterten Berechtigungsebene:
    set -privilege advanced

  3. DNS für die Daten-SVM erstellen.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. CMEK-Eintrag erstellen:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Geben Sie bei der entsprechenden Aufforderung den JSON-Schlüssel Ihres GCP-Kontos ein.

  6. Bestätigen Sie, dass der aktivierte Prozess erfolgreich war:
    security key-manager external gcp check -vserver svm_name

  7. OPTIONAL: Erstellen Sie ein Volume zum Testen der Verschlüsselung vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Fehlerbehebung

Wenn Sie Fehler beheben müssen, können Sie die RAW REST API-Logs in den letzten beiden Schritten oben:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log