Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Automatisierte Boot-Medienwiederherstellung vom Partnerknoten - AFF A1K

Beitragende netapp-jsnyder netapp-lisa

Nach der Installation des neuen Bootmediums in Ihrem AFF A1K -System können Sie den automatisierten Bootmedium-Wiederherstellungsprozess starten, um die Konfiguration vom Partnerknoten wiederherzustellen. Während des Wiederherstellungsprozesses prüft das System, ob die Verschlüsselung aktiviert ist und ermittelt die Art der verwendeten Schlüsselverschlüsselung. Wenn die Schlüsselverschlüsselung aktiviert ist, führt Sie das System durch die entsprechenden Schritte zur Wiederherstellung.

Der automatisierte Boot-Medien-Wiederherstellungsprozess wird nur in ONTAP 9.17.1 und höher unterstützt. Wenn Ihr Speichersystem eine frühere Version von ONTAP verwendet, verwenden Sie die "manuelle Boot-Wiederherstellung" .

Bevor Sie beginnen
  • Für OKM benötigen Sie die clusterweite Passphrase und auch die Sicherungsdaten.

  • Für EKM benötigen Sie Kopien der folgenden Dateien vom Partnerknoten:

    • Datei /cfcard/kmip/servers.cfg.

    • Datei /cfcard/kmip/certs/Client.crt.

    • Datei /cfcard/kmip/certs/client.key.

    • Datei /cfcard/kmip/certs/CA.pem.

Schritte
  1. Geben Sie an der Loader-Eingabeaufforderung den Befehl ein:

    boot_recovery -partner

    Auf dem Bildschirm wird die folgende Meldung angezeigt:

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Überwachen Sie den Wiederherstellungsprozess für die Installation der Startmedien.

    Der Vorgang ist abgeschlossen und zeigt die Installation complete Meldung an.

  3. Das System prüft nach Verschlüsselung und Verschlüsselungstyp und zeigt eine von zwei Meldungen an. Je nachdem, welche Meldung angezeigt wird, führen Sie eine der folgenden Aktionen durch:

    Wichtig Gelegentlich kann der Prozess möglicherweise nicht erkennen, ob der Schlüsselmanager auf dem System konfiguriert ist. Es wird eine Fehlermeldung angezeigt, gefragt, ob Key Manager für das System konfiguriert ist, und dann gefragt, welcher Schlüsselmanager konfiguriert ist. Der Vorgang wird fortgesetzt, nachdem Sie das Problem behoben haben.
    Beispiel für Eingabeaufforderungen zum Suchen von Konfigurationsfehlern anzeigen
    Error when fetching key manager config from partner ${partner_ip}: ${status}
    
    Has key manager been configured on this system
    
    Is the key manager onboard
    Wenn diese Meldung angezeigt wird…​ Tun Sie das…​

    key manager is not configured. Exiting.

    Verschlüsselung ist nicht auf dem System installiert. Führen Sie folgende Schritte aus:

    1. Melden Sie sich beim Node an, wenn die Anmeldeaufforderung angezeigt wird, und geben Sie den Speicher zurück:

      storage failover giveback -ofnode impaired_node_name

    2. Fahren Sie mit Schritt 5 fort, um das automatische Giveback zu aktivieren, falls es deaktiviert wurde.

    key manager is configured.

    Fahren Sie mit Schritt 4 fort, um den entsprechenden Schlüsselmanager wiederherzustellen.

    Der Knoten greift auf das Startmenü zu und führt Folgendes aus:

    • Option 10 für Systeme mit Onboard Key Manager (OKM).

    • Option 11 für Systeme mit externem Key Manager (EKM).

  4. Wählen Sie den entsprechenden Wiederherstellungsvorgang für den Schlüsselmanager aus.

    Onboard Key Manager (OKM)

    Wenn OKM erkannt wird, zeigt das System die folgende Meldung an und beginnt mit der Ausführung der Startmenüoption 10.

    key manager is configured.
    Entering Bootmenu Option 10...
    
    This option must be used only in disaster recovery procedures. Are you sure? (y or n):
    1. Geben Sie an der Eingabeaufforderung ein Y, um zu bestätigen, dass Sie den OKM-Wiederherstellungsprozess starten möchten.

    2. Geben Sie bei der entsprechenden Aufforderung Folgendes ein:

      1. Die Passphrase

      2. Die Passphrase erneut, wenn Sie zur Bestätigung aufgefordert werden

      3. Sicherungsdaten für den integrierten Schlüsselmanager

        Beispiel für Eingabeaufforderungen für Passphrasen und Sicherungsdaten anzeigen
        Enter the passphrase for onboard key management:
        -----BEGIN PASSPHRASE-----
        <passphrase_value>
        -----END PASSPHRASE-----
        Enter the passphrase again to confirm:
        -----BEGIN PASSPHRASE-----
        <passphrase_value>
        -----END PASSPHRASE-----
        Enter the backup data:
        -----BEGIN BACKUP-----
        <passphrase_value>
        -----END BACKUP-----
    3. Überwachen Sie den Recovery-Prozess weiterhin, wenn die entsprechenden Dateien vom Partner-Node wiederhergestellt werden.

      Nach Abschluss der Wiederherstellung wird der Node neu gebootet. Die folgenden Meldungen weisen auf eine erfolgreiche Wiederherstellung hin:

      Trying to recover keymanager secrets....
      Setting recovery material for the onboard key manager
      Recovery secrets set successfully
      Trying to delete any existing km_onboard.keydb file.
      
      Successfully recovered keymanager secrets.
    4. Wenn der Node neu gebootet wird, überprüfen Sie, ob die Boot-Medien erfolgreich wiederhergestellt wurden, indem Sie bestätigen, dass das System wieder online und funktionsfähig ist.

    5. Stellen Sie den funktionsbeeinträchtigten Controller wieder in den Normalbetrieb ein, indem Sie den Speicher zurückgeben:

      storage failover giveback -ofnode impaired_node_name

    6. Nachdem der Partner-Node vollständig eingerichtet ist und Daten bereitstellt, synchronisieren Sie die OKM-Schlüssel über das Cluster hinweg.

      security key-manager onboard sync

    Externer Schlüsselmanager (EKM)

    Wenn EKM erkannt wird, zeigt das System die folgende Meldung an und beginnt mit der Ausführung der Startmenüoption 11.

    key manager is configured.
    Entering Bootmenu Option 11...
    1. Der nächste Schritt hängt davon ab, welche Version von ONTAP auf Ihrem System ausgeführt wird:

      Wenn Ihr System ausgeführt wird…​ Tun Sie das…​

      ONTAP 9.16.0

      1. Drücken Sie Ctlr-C, um die Startmenüoption 11 zu verlassen.

      2. Drücken Sie Ctlr-C, um den EKM-Konfigurationsvorgang zu beenden und zum Startmenü zurückzukehren.

      3. Wählen Sie die Startmenüoption 8.

      4. Booten Sie den Node neu.

        Wenn festgelegt ist, wird der Node neu gebootet, AUTOBOOT und er verwendet die Konfigurationsdateien vom Partner-Node.

        Wenn AUTOBOOT nicht festgelegt ist, geben Sie den entsprechenden Boot-Befehl ein. Der Node wird neu gebootet, und die Konfigurationsdateien vom Partner-Node werden verwendet.

      5. Starten Sie den Knoten neu, so dass EKM die Startmedienpartition schützt.

      6. Fahren Sie mit Schritt c. fort

      ONTAP 9.16.1 und höher

      Fahren Sie mit dem nächsten Schritt fort.

    2. Geben Sie die folgende EKM-Konfigurationseinstellung ein, wenn Sie dazu aufgefordert werden:

      Aktion Beispiel

      Geben Sie den Inhalt des Clientzertifikats aus der Datei ein /cfcard/kmip/certs/client.crt.

      Zeigt ein Beispiel für den Inhalt des Clientzertifikats an
      -----BEGIN CERTIFICATE-----
      <certificate_value>
      -----END CERTIFICATE-----

      Geben Sie den Inhalt der Client-Schlüsseldatei aus der Datei ein /cfcard/kmip/certs/client.key.

      Beispiel für den Inhalt der Schlüsseldatei des Clients anzeigen
      -----BEGIN RSA PRIVATE KEY-----
      <key_value>
      -----END RSA PRIVATE KEY-----

      Geben Sie den/die KMIP-Server-CA(s)-Dateiinhalt aus der Datei ein /cfcard/kmip/certs/CA.pem.

      Beispiel für Dateiinhalte des KMIP-Servers anzeigen
      -----BEGIN CERTIFICATE-----
      <KMIP_certificate_CA_value>
      -----END CERTIFICATE-----

      Geben Sie den Inhalt der Serverkonfigurationsdatei aus der Datei ein /cfcard/kmip/servers.cfg.

      Beispiel für den Inhalt der Serverkonfigurationsdatei anzeigen
      xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
      xxx.xxx.xxx.xxx:5696.port=5696
      xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
      xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
      1xxx.xxx.xxx.xxx:5696.timeout=25
      xxx.xxx.xxx.xxx:5696.nbio=1
      xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
      xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
      xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
      xxx.xxx.xxx.xxx:5696.verify=true
      xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      Geben Sie bei der entsprechenden Aufforderung die ONTAP-Cluster-UUID des Partners ein.

      Sie können die Cluster-UUID vom Partnerknoten aus überprüfen, indem Sie Folgendes verwenden: cluster identify show Befehl.

      Beispiel für eine ONTAP-Cluster-UUID anzeigen
      Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
      Do you know the ONTAP Cluster UUID? {y/n} y
      Enter the ONTAP Cluster UUID: <cluster_uuid_value>
      
      
      System is ready to utilize external key manager(s).

      Wenn Sie dazu aufgefordert werden, geben Sie die temporäre Netzwerkschnittstelle und die Einstellungen für den Knoten ein.

      Sie müssen Folgendes eingeben:

      1. Die IP-Adresse für den Port

      2. Die Netzmaske für den Port

      3. Die IP-Adresse des Standard-Gateways

      Beispiel für eine temporäre Netzwerkeinstellung anzeigen
      In order to recover key information, a temporary network interface needs to be
      configured.
      
      Select the network port you want to use (for example, 'e0a')
      e0M
      
      Enter the IP address for port : xxx.xxx.xxx.xxx
      Enter the netmask for port : xxx.xxx.xxx.xxx
      Enter IP address of default gateway: xxx.xxx.xxx.xxx
      Trying to recover keys from key servers....
      [discover_versions]
      [status=SUCCESS reason= message=]
    3. Je nachdem, ob der Schlüssel erfolgreich wiederhergestellt wurde, führen Sie eine der folgenden Aktionen durch:

      • Wenn Sie sehen kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 In der Ausgabe wurde die EKM-Konfiguration erfolgreich wiederhergestellt.

        Der Prozess versucht, die entsprechenden Dateien vom Partnerknoten wiederherzustellen und startet den Knoten neu. Fahren Sie mit Schritt d fort.

      • Wenn der Schlüssel nicht erfolgreich wiederhergestellt werden kann, wird das System angehalten und zeigt an, dass der Schlüssel nicht wiederhergestellt werden konnte. Die Fehler- und Warnmeldungen werden angezeigt. Sie müssen den Wiederherstellungsprozess erneut ausführen:

        boot_recovery -partner

      Zeigt ein Beispiel für Fehler und Warnmeldungen bei der Schlüsselwiederherstellung an
      ERROR: kmip_init: halting this system with encrypted mroot...
      WARNING: kmip_init: authentication keys might not be available.
      ********************************************************
      *                 A T T E N T I O N                    *
      *                                                      *
      *       System cannot connect to key managers.         *
      *                                                      *
      ********************************************************
      ERROR: kmip_init: halting this system with encrypted mroot...
      .
      Terminated
      
      Uptime: 11m32s
      System halting...
      
      LOADER-B>
    4. Wenn der Node neu gebootet wird, überprüfen Sie, ob die Boot-Medien erfolgreich wiederhergestellt wurden, indem Sie bestätigen, dass das System wieder online und funktionsfähig ist.

    5. Wiederherstellung des normalen Betriebs des Controllers durch Zurückgeben des Speichers:

      storage failover giveback -ofnode impaired_node_name

  5. Wenn die automatische Rückübertragung deaktiviert wurde, aktivieren Sie sie erneut:

    storage failover modify -node local -auto-giveback true

  6. Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung wieder her:

    system node autosupport invoke -node * -type all -message MAINT=END

Wie es weiter geht

Nachdem Sie das ONTAP-Image wiederhergestellt haben und der Node ausgeführt wurde und Daten bereitstellt, können Sie "Geben Sie das fehlerhafte Teil an NetApp zurück".