Konfigurieren Sie die End-to-End-Verschlüsselung
Ab ONTAP 9.15.1 können Sie die End-to-End-Verschlüsselung zur Verschlüsselung von Back-End-Datenverkehr, wie NVLOG- und Storage-Replizierungsdaten, zwischen den Standorten einer MetroCluster IP-Konfiguration konfigurieren.
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Bevor Sie die End-to-End-Verschlüsselung konfigurieren können, müssen Sie dies tun "Externes Verschlüsselungsmanagement konfigurieren".
-
Prüfen Sie die unterstützten Systeme und die Mindestversion von ONTAP, die erforderlich sind, um die End-to-End-Verschlüsselung in einer MetroCluster IP-Konfiguration zu konfigurieren:
Minimale ONTAP-Version
Unterstützte Systeme
ONTAP 9.15.1
-
AFF A400
-
FAS8300
-
FAS8700
-
End-to-End-Verschlüsselung
Führen Sie die folgenden Schritte aus, um die End-to-End-Verschlüsselung zu aktivieren.
-
Überprüfen Sie den Systemzustand der MetroCluster-Konfiguration.
-
Vergewissern Sie sich, dass die MetroCluster-Komponenten ordnungsgemäß sind:
metrocluster check run
cluster_A::*> metrocluster check run
Der Vorgang wird im Hintergrund ausgeführt.
-
Nach dem
metrocluster check run
Vorgang abgeschlossen, Ausführen:metrocluster check show
Nach etwa fünf Minuten werden die folgenden Ergebnisse angezeigt:
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
Überprüfen Sie den Status des laufenden MetroCluster-Prüfvorgangs:
metrocluster operation history show -job-id <id>
-
Vergewissern Sie sich, dass es keine Systemzustandsmeldungen gibt:
system health alert show
-
-
Vergewissern Sie sich, dass das externe Schlüsselmanagement auf beiden Clustern konfiguriert ist:
security key-manager external show-status
-
End-to-End-Verschlüsselung für jede DR-Gruppe aktivieren:
metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>
Beispiel
cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1 Warning: Enabling encryption for a DR Group will secure NVLog and Storage replication data sent between MetroCluster nodes and have an impact on performance. Do you want to continue? {y|n}: y [Job 244] Job succeeded: Modify is successful.
Wiederholen Sie diesen Schritt für jede DR-Gruppe in der Konfiguration.
-
Vergewissern Sie sich, dass die End-to-End-Verschlüsselung aktiviert ist:
metrocluster node show -fields is-encryption-enabled
Beispiel
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured true 1 cluster_A node_A_2 configured true 1 cluster_B node_B_1 configured true 1 cluster_B node_B_2 configured true 4 entries were displayed.
End-to-End-Verschlüsselung deaktivieren
Führen Sie die folgenden Schritte aus, um die End-to-End-Verschlüsselung zu deaktivieren.
-
Überprüfen Sie den Systemzustand der MetroCluster-Konfiguration.
-
Vergewissern Sie sich, dass die MetroCluster-Komponenten ordnungsgemäß sind:
metrocluster check run
cluster_A::*> metrocluster check run
Der Vorgang wird im Hintergrund ausgeführt.
-
Nach dem
metrocluster check run
Vorgang abgeschlossen, Ausführen:metrocluster check show
Nach etwa fünf Minuten werden die folgenden Ergebnisse angezeigt:
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
Überprüfen Sie den Status des laufenden MetroCluster-Prüfvorgangs:
metrocluster operation history show -job-id <id>
-
Vergewissern Sie sich, dass es keine Systemzustandsmeldungen gibt:
system health alert show
-
-
Vergewissern Sie sich, dass das externe Schlüsselmanagement auf beiden Clustern konfiguriert ist:
security key-manager external show-status
-
Deaktivieren Sie die End-to-End-Verschlüsselung für jede DR-Gruppe:
metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>
Beispiel
cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1 [Job 244] Job succeeded: Modify is successful.
Wiederholen Sie diesen Schritt für jede DR-Gruppe in der Konfiguration.
-
Vergewissern Sie sich, dass die End-to-End-Verschlüsselung deaktiviert ist:
metrocluster node show -fields is-encryption-enabled
Beispiel
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured false 1 cluster_A node_A_2 configured false 1 cluster_B node_B_1 configured false 1 cluster_B node_B_2 configured false 4 entries were displayed.