Schritte zum Austausch von Medien nach dem Booten für OKM, NSE und NVE – AFF A900
Nachdem Umgebungsvariablen aktiviert sind, müssen Sie für die Wiederherstellung von Onboard Key Manager (OKM), NetApp Storage Encryption (NSE) und NetApp Volume Encryption (NVE) die spezifischen Schritte ausführen.
Bestimmen Sie den Abschnitt, den Sie zum Wiederherstellen Ihrer OKM-, NSE- oder NVE-Konfigurationen verwenden sollten: Wenn NSE oder NVE zusammen mit Onboard Key Manager aktiviert sind, müssen Sie die zu Beginn dieses Verfahrens erfassten Einstellungen wiederherstellen.
-
Wenn NSE oder NVE aktiviert sind und der Onboard Key Manager aktiviert ist, wechseln Sie zu wenn Onboard Key Manager aktiviert ist.
-
Wenn NSE oder NVE für ONTAP 9.6 aktiviert sind, finden Sie unter Stellen Sie NSE/NVE auf Systemen mit ONTAP 9.6 und höher wieder her.
Stellen Sie NVE oder NSE wieder her, wenn Onboard Key Manager aktiviert ist
-
Schließen Sie das Konsolenkabel an den Ziel-Controller an.
-
Verwenden Sie den Boot_ontap-Befehl an der LOADER-Eingabeaufforderung, um den Controller zu booten.
-
Überprüfen Sie die Konsolenausgabe:
Wenn die Konsole angezeigt wird… Dann… Die LOADER-Eingabeaufforderung
Starten des Controllers zum Boot-Menü:
boot_ontap menu
Warten auf Zurückgeben
-
Eingabe
Ctrl-C
An der Eingabeaufforderung -
Bei der Meldung: Möchten Sie diesen Knoten anhalten, anstatt [y/n] zu warten? , Geben Sie ein:
y
-
Geben Sie an der LOADER-Eingabeaufforderung den ein
boot_ontap menu
Befehl.
-
-
Geben Sie im Startmenü den verborgenen Befehl ein.
recover_onboard_keymanager
, Und antworteny
An der Eingabeaufforderung. -
Geben Sie die Passphrase für das Onboard-Schlüsselmanagement ein, das Sie zu Beginn dieses Verfahrens vom Kunden erhalten haben.
-
Wenn Sie zur Eingabe der Backup-Daten aufgefordert werden, fügen Sie die zu Beginn dieses Abschnitts erfassten Backup-Daten bei der Aufforderung ein. Fügen Sie die Ausgabe von ein
security key-manager backup show
ODERsecurity key-manager onboard show-backup
Befehl.Die Daten werden von beiden ausgegeben security key-manager backup show
Oder Security key-Manager Onboard show-Backup` Befehl.Beispiel für Backup-Daten:
Backup-Daten eingeben:
------------------------------- BACKUP-------------------------------------- TmV0QXBwIETERTABCbGaiAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA . . . H4nPQM0nrDRYRa9SCv8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
--------------------------------- END-BACKUP--------------------------------------------------
-
Wählen Sie im Startmenü die Option Normal Boot aus.
Das System startet zum Warten auf Giveback… Eingabeaufforderung.
-
Verschieben Sie das Konsolenkabel zum Partner Controller und melden Sie sich als Administrator an.
-
Überprüfen Sie, ob der Ziel-Controller bereit ist für die Rückgabe an den
storage failover show
Befehl. -
Geben Sie nur die CFO-Aggregate mit dem zurück
storage failover giveback -fromnode local -only-cfo-aggregates true
Befehl.-
Wenn der Befehl aufgrund eines ausgefallenen Laufwerks ausfällt, setzen Sie die ausgefallene Festplatte physisch aus, lassen Sie sie aber in den Steckplatz, bis ein Austausch erfolgt.
-
Wenn der Befehl aufgrund einer offenen CIFS-Sitzung nicht erfolgreich ausgeführt wird, informieren Sie sich beim Kunden, wie CIFS-Sitzungen abgeschlossen werden können.
Die Beendigung von CIFS kann zu Datenverlust führen. -
Wenn der Befehl fehlschlägt, weil der Partner „nicht bereit“ ist, warten Sie 5 Minuten, bis die NVRAMs synchronisiert wurden.
-
Wenn der Befehl aufgrund eines NDMP-, SnapMirror- oder SnapVault-Prozesses ausfällt, deaktivieren Sie den Prozess. Weitere Informationen finden Sie in den entsprechenden Inhalten.
-
-
Sobald die Rückgabe abgeschlossen ist, überprüfen Sie den Failover- und Giveback-Status mit
storage failover show
Undstorage failover show-giveback
Befehle.Es werden nur die CFO-Aggregate (Root-Aggregate und Daten-Aggregate im CFO-Stil) angezeigt.
-
Wenn Sie ONTAP 9.6 oder höher verwenden, führen Sie die integrierte Synchronisierung des Security Key-Managers aus:
-
Führen Sie die aus
security key-manager onboard sync
Geben Sie bei der entsprechenden Aufforderung die Passphrase ein. -
Geben Sie das ein
security key-manager key-query
Befehl zum Anzeigen einer detaillierten Ansicht aller im Onboard-Schlüsselmanager gespeicherten Schlüssel und zur Überprüfung des sRestored
Spalte =yes/true
Für alle Authentifizierungsschlüssel.Wenn der Restored
Spalte = nichts anderes alsyes/true
, Wenden Sie sich an den Kundendienst. -
Warten Sie 10 Minuten, bis der Schlüssel über das Cluster synchronisiert wird.
-
-
Stellen Sie das Konsolenkabel auf den Partner Controller um.
-
Geben Sie den Ziel-Controller mithilfe des zurück
storage failover giveback -fromnode local
Befehl. -
Überprüfen Sie den Giveback-Status, drei Minuten nachdem Berichte abgeschlossen wurden, mithilfe des
storage failover show
Befehl.Falls das Giveback nach 20 Minuten nicht abgeschlossen ist, wenden Sie sich an den Kundendienst.
-
Geben Sie an der Eingabeaufforderung für clustershell den Befehl net int show -is-Home false ein, um die logischen Schnittstellen aufzulisten, die sich nicht auf ihrem Home-Controller und Port befinden.
Wenn Schnittstellen als aufgeführt werden
false
, Zurücksetzen dieser Schnittstellen zurück zu ihrem Home-Port mit demnet int revert -vserver Cluster -lif nodename
Befehl. -
Bewegen Sie das Konsolenkabel auf den Ziel-Controller, und führen Sie den aus
version -v
Befehl zum Prüfen der ONTAP-Versionen. -
Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren
storage failover modify -node local -auto-giveback true
Befehl.
Stellen Sie NSE/NVE auf Systemen mit ONTAP 9.6 und höher wieder her
-
Schließen Sie das Konsolenkabel an den Ziel-Controller an.
-
Verwenden Sie den Boot_ontap-Befehl an der LOADER-Eingabeaufforderung, um den Controller zu booten.
-
Überprüfen Sie die Konsolenausgabe:
Wenn die Konsole angezeigt wird… Dann… Die Eingabeaufforderung für die Anmeldung
Fahren Sie mit Schritt 7 fort.
Warten auf Giveback…
-
Melden Sie sich beim Partner-Controller an.
-
Überprüfen Sie, ob der Ziel-Controller bereit ist für die Rückgabe an den
storage failover show
Befehl.
-
-
Bewegen Sie das Konsolenkabel auf den Partner Controller und geben Sie den Ziel-Controller-Storage mit dem Storage Failover Giveback -vNode local -only-cfo-Aggregates echten lokalen Befehl zurück.
-
Wenn der Befehl aufgrund eines ausgefallenen Laufwerks ausfällt, setzen Sie die ausgefallene Festplatte physisch aus, lassen Sie sie aber in den Steckplatz, bis ein Austausch erfolgt.
-
Wenn der Befehl aufgrund von offenen CIFS-Sitzungen ausfällt, wenden Sie sich an den Kunden, wie CIFS-Sitzungen abgeschlossen werden können.
Die Beendigung von CIFS kann zu Datenverlust führen. -
Wenn der Befehl fehlschlägt, weil der Partner "nicht bereit" ist, warten Sie 5 Minuten, bis die NVMEMs synchronisieren.
-
Wenn der Befehl aufgrund eines NDMP-, SnapMirror- oder SnapVault-Prozesses ausfällt, deaktivieren Sie den Prozess. Weitere Informationen finden Sie in den entsprechenden Inhalten.
-
-
Warten Sie 3 Minuten, und überprüfen Sie den Failover-Status mit dem Befehl „Storage Failover show“.
-
Geben Sie an der Clustershell-Eingabeaufforderung den ein
net int show -is-home false
Befehl zum Auflistung der logischen Schnittstellen, die sich nicht auf ihrem Home Controller und Port befinden.Wenn Schnittstellen als aufgeführt werden
false
, Zurücksetzen dieser Schnittstellen zurück zu ihrem Home-Port mit demnet int revert -vserver Cluster -lif nodename
Befehl. -
Bewegen Sie das Konsolenkabel auf den Ziel-Controller, und führen Sie den aus
version -v
Befehl zum Prüfen der ONTAP-Versionen. -
Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren
storage failover modify -node local -auto-giveback true
Befehl. -
Verwenden Sie die
storage encryption disk show
An der clustershell-Eingabeaufforderung zur Überprüfung der Ausgabe. -
Verwenden Sie die
security key-manager key-query
Befehl zum Anzeigen der Verschlüsselung und Authentifizierungsschlüssel, die auf den Verschlüsselungsmanagement-Servern gespeichert sind.-
Wenn der
Restored
Spalte =yes/true
, Sie sind fertig und können den Austauschprozess abschließen. -
Wenn der
Key Manager type
=external
Und dasRestored
Spalte = nichts anderes alsyes/true
, Verwenden Sie diesecurity key-manager external restore
Befehl zum Wiederherstellen der Schlüssel-IDs der Authentifizierungsschlüssel.Falls der Befehl fehlschlägt, wenden Sie sich an den Kundendienst. -
Wenn der
Key Manager type
=onboard
Und dasRestored
Spalte = nichts anderes alsyes/true
, Verwenden Sie diesecurity key-manager onboard sync
Befehl zum erneuten Synchronisieren des Key Manager-Typs.Verwenden Sie die
security key-manager key-query
Befehl zum Überprüfen desRestored
Spalte =yes/true
Für alle Authentifizierungsschlüssel.
-
-
Schließen Sie das Konsolenkabel an den Partner Controller an.
-
Geben Sie den Controller mit dem lokalen Befehl Storage Failover Giveback -abnode zurück.
-
Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren
storage failover modify -node local -auto-giveback true
Befehl.