Automatisierte Boot-Medienwiederherstellung vom Partnerknoten - FAS2800
Änderungen vorschlagen
PDFs
Nachdem Sie das neue Boot-Mediengerät in Ihrem FAS2800-System installiert haben, können Sie den automatisierten Boot-Medien-Wiederherstellungsprozess starten, um die Konfiguration vom Partnerknoten wiederherzustellen. Während des Wiederherstellungsprozesses prüft das System, ob die Verschlüsselung aktiviert ist und ermittelt den verwendeten Schlüsselverschlüsselungstyp. Wenn die Schlüsselverschlüsselung aktiviert ist, führt Sie das System durch die entsprechenden Schritte zur Wiederherstellung.
Der automatisierte Boot-Medien-Wiederherstellungsprozess wird nur in ONTAP 9.17.1 und höher unterstützt. Wenn Ihr Speichersystem eine frühere Version von ONTAP verwendet, verwenden Sie die "manuelle Boot-Wiederherstellung" .
-
Ermitteln Sie Ihren Schlüsselmanagertyp:
-
Onboard Key Manager (OKM): Erfordert eine clusterweite Passphrase und Sicherungsdaten.
-
Externer Schlüsselmanager (EKM): Benötigt die folgenden Dateien vom Partnerknoten:
-
/cfcard/kmip/servers.cfg -
/cfcard/kmip/certs/client.crt -
/cfcard/kmip/certs/client.key -
/cfcard/kmip/certs/CA.pem
-
-
-
Starten Sie an der Eingabeaufforderung LOADER den Wiederherstellungsprozess des Bootmediums:
boot_recovery -partnerAuf dem Bildschirm wird die folgende Meldung angezeigt:
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
Überwachen Sie den Wiederherstellungsprozess für die Installation der Startmedien.
Der Vorgang ist abgeschlossen und zeigt die
Installation completeMeldung an. -
Das System prüft die Verschlüsselung und zeigt eine der folgenden Meldungen an:
Wenn diese Meldung angezeigt wird… Tun Sie das… key manager is not configured. Exiting.Auf dem System ist keine Verschlüsselung installiert.
-
Warten Sie, bis die Anmeldeaufforderung angezeigt wird.
-
Melden Sie sich am Knoten an und geben Sie den Speicherplatz zurück:
storage failover giveback -ofnode impaired_node_name -
Gehen Sie zu Schritt 6, um die automatische Rückgabe wieder zu aktivieren, falls diese deaktiviert war.
key manager is configured.Die Verschlüsselung ist installiert. Fahren Sie mit Schritt 4 fort, um den Schlüsselmanager wiederherzustellen.
Kann das System die Konfiguration des Schlüsselmanagers nicht identifizieren, wird eine Fehlermeldung angezeigt, und Sie werden aufgefordert zu bestätigen, ob ein Schlüsselmanager konfiguriert ist und um welchen Typ es sich handelt (intern oder extern). Beantworten Sie die Anweisungen, um fortzufahren. -
-
Stellen Sie den Schlüsselmanager mithilfe der für Ihre Konfiguration geeigneten Vorgehensweise wieder her:
Onboard Key Manager (OKM)Das System zeigt die folgende Meldung an und beginnt mit der Ausführung von BootMenu Option 10:
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Eingeben
yWenn Sie dazu aufgefordert werden, zu bestätigen, dass Sie den OKM-Wiederherstellungsprozess starten möchten, folgen Sie dieser Aufforderung. -
Geben Sie bei Aufforderung die Passphrase für die Onboard-Schlüsselverwaltung ein.
-
Geben Sie die Passphrase bei Aufforderung erneut ein, um sie zu bestätigen.
-
Geben Sie die Sicherungsdaten für den Onboard Key Manager ein, wenn Sie dazu aufgefordert werden.
Beispiel für Eingabeaufforderungen für Passphrasen und Sicherungsdaten anzeigen
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
Überwachen Sie den Wiederherstellungsprozess, während die entsprechenden Dateien vom Partnerknoten wiederhergestellt werden.
Nach Abschluss des Wiederherstellungsprozesses wird der Knoten neu gestartet. Die folgenden Meldungen deuten auf eine erfolgreiche Wiederherstellung hin:
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
Nach dem Neustart des Knotens überprüfen Sie, ob das System wieder online und betriebsbereit ist.
-
Stellen Sie den funktionsbeeinträchtigten Controller wieder in den Normalbetrieb ein, indem Sie den Speicher zurückgeben:
storage failover giveback -ofnode impaired_node_name -
Sobald der Partnerknoten vollständig betriebsbereit ist und Daten bereitstellt, synchronisieren Sie die OKM-Schlüssel im gesamten Cluster:
security key-manager onboard syncGehen Sie zu Schritt 5, um die automatische Rückgabe wieder zu aktivieren, falls diese deaktiviert war.
Externer Schlüsselmanager (EKM)Das System zeigt die folgende Meldung an und beginnt mit der Ausführung von BootMenu Option 11:
key manager is configured. Entering Bootmenu Option 11...
-
Geben Sie die EKM-Konfigurationseinstellungen ein, wenn Sie dazu aufgefordert werden:
-
Geben Sie den Inhalt des Clientzertifikats aus dem
/cfcard/kmip/certs/client.crtDatei:Zeigt ein Beispiel für den Inhalt des Clientzertifikats an
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
Geben Sie den Inhalt der Client-Schlüsseldatei aus dem/der
/cfcard/kmip/certs/client.keyDatei:Beispiel für den Inhalt der Schlüsseldatei des Clients anzeigen
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
-
Geben Sie den Inhalt der CA-Serverdatei(en) des KMIP-Servers ein.
/cfcard/kmip/certs/CA.pemDatei:Beispiel für Dateiinhalte des KMIP-Servers anzeigen
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
-
Geben Sie den Inhalt der Serverkonfigurationsdatei aus dem folgenden Verzeichnis ein:
/cfcard/kmip/servers.cfgDatei:Beispiel für den Inhalt der Serverkonfigurationsdatei anzeigen
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
-
Geben Sie bei Aufforderung die ONTAP Cluster-UUID des Partnerknotens ein. Sie können die Cluster-UUID vom Partnerknoten aus mit folgendem Befehl überprüfen:
cluster identify showBefehl.Beispiel für die ONTAP Cluster UUID-Eingabeaufforderung anzeigen
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s). -
Geben Sie bei Aufforderung die temporäre Netzwerkschnittstelle und die Einstellungen für den Knoten ein:
-
Die IP-Adresse für den Port
-
Die Netzmaske für den Port
-
Die IP-Adresse des Standard-Gateways
Beispiel für Eingabeaufforderungen für temporäre Netzwerkeinstellungen anzeigen
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
-
Überprüfen Sie den Status der Schlüsselwiederherstellung:
-
Wenn Sie sehen
kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696Im Ergebnis wird angezeigt, dass die EKM-Konfiguration erfolgreich wiederhergestellt wurde. Der Prozess stellt die entsprechenden Dateien vom Partnerknoten wieder her und startet den Knoten neu. Fahren Sie mit dem nächsten Schritt fort. -
Wenn der Schlüssel nicht erfolgreich wiederhergestellt werden kann, stoppt das System und zeigt Fehler- und Warnmeldungen an. Führen Sie den Wiederherstellungsprozess über die LOADER-Eingabeaufforderung erneut aus:
boot_recovery -partnerZeigt ein Beispiel für Fehler und Warnmeldungen bei der Schlüsselwiederherstellung an
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
Nach dem Neustart des Knotens überprüfen Sie, ob das System wieder online und betriebsbereit ist.
-
Wiederherstellung des normalen Betriebs des Controllers durch Zurückgeben des Speichers:
storage failover giveback -ofnode impaired_node_nameGehen Sie zu Schritt 5, um die automatische Rückgabe wieder zu aktivieren, falls diese deaktiviert war.
-
-
Wenn die automatische Rückübertragung deaktiviert wurde, aktivieren Sie sie erneut:
storage failover modify -node local -auto-giveback true -
Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung wieder her:
system node autosupport invoke -node * -type all -message MAINT=END
Nachdem Sie das ONTAP-Image wiederhergestellt haben und der Node ausgeführt wurde und Daten bereitstellt, können Sie "Geben Sie das fehlerhafte Teil an NetApp zurück".