Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfiguration von geclusterten externen Schlüsselservern in ONTAP

Beitragende netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDFs

Ab ONTAP 9.11.1 können Sie die Konnektivität zu geclusterten externen Schlüsselverwaltungsservern auf einer SVM konfigurieren. Mit geclusterten Schlüsselservern können Sie primäre und sekundäre Schlüsselserver auf einer SVM festlegen. Beim Registrieren oder Abrufen von Schlüsseln versucht ONTAP zunächst, auf den primären Schlüsselserver zuzugreifen, bevor es nacheinander versucht, auf sekundäre Server zuzugreifen, bis der Vorgang erfolgreich abgeschlossen ist.

Sie können externe Schlüsselserver für NetApp Storage Encryption (NSE), NetApp Volume Encryption (NVE) und NetApp Aggregate Encryption (NAE) Schlüssel verwenden. Ein SVM kann bis zu vier primäre externe KMIP-Server unterstützen. Jeder primäre Server kann bis zu drei sekundäre Schlüsselserver unterstützen.

Über diese Aufgabe
Bevor Sie beginnen

Erstellen Sie einen Cluster-Schlüsselserver

Das Konfigurationsverfahren hängt davon ab, ob Sie einen primären Schlüsselserver konfiguriert haben oder nicht.

Hinzufügen von primären und sekundären Schlüsselservern zu einer SVM
Schritte

  1. Vergewissern Sie sich, dass für den Cluster (Admin-SVM) keine Schlüsselverwaltung aktiviert ist:

    security key-manager external show -vserver <svm_name>

    Wenn auf der SVM bereits die maximale Anzahl von vier primären Schlüsselservern aktiviert ist, müssen Sie einen der vorhandenen primären Schlüsselserver entfernen, bevor Sie einen neuen hinzufügen können.

  2. Aktivieren Sie den Primärschlüsselmanager:

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • Wenn Sie keinen Port angeben in der -key-servers Bei diesem Parameter wird standardmäßig der Port 5696 verwendet.

      Hinweis Wenn Sie die security key-manager external enable Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen. NetApp empfiehlt dringend, auf beiden Clustern die gleichen Key-Server zu verwenden.

  3. Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der -secondary-key-servers Der Parameter akzeptiert eine durch Kommas getrennte Liste von bis zu drei Schlüsselservern:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • Geben Sie keine Portnummer für sekundäre Schlüsselserver an. -secondary-key-servers Parameter. Es verwendet dieselbe Portnummer wie der primäre Schlüsselserver.

      Hinweis Wenn Sie die security key-manager external Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen. NetApp empfiehlt dringend, auf beiden Clustern die gleichen Key-Server zu verwenden.
Fügen Sie einem vorhandenen primären Schlüsselserver sekundäre Schlüsselserver hinzu
Schritte

  1. Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der -secondary-key-servers Der Parameter akzeptiert eine durch Kommas getrennte Liste von bis zu drei Schlüsselservern:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • Geben Sie keine Portnummer für sekundäre Schlüsselserver an. -secondary-key-servers Parameter. Es verwendet dieselbe Portnummer wie die primären Schlüsselserver.

      Hinweis Wenn Sie die security key-manager external modify-server Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen. NetApp empfiehlt dringend, auf beiden Clustern die gleichen Key-Server zu verwenden.

Weitere Informationen zu sekundären Schlüsselservern finden Sie unter [mod-secondary]Die

Cluster-Key-Server ändern

Sie können gruppierte externe Schlüsselserver modifizieren, indem Sie sekundäre Schlüsselserver hinzufügen und entfernen, die Zugriffsreihenfolge der sekundären Schlüsselserver ändern oder die Bezeichnung (primär oder sekundär) bestimmter Schlüsselserver ändern. Wenn Sie geclusterte externe Schlüsselserver in einer MetroCluster -Konfiguration ändern, empfiehlt NetApp dringend, auf beiden Clustern die gleichen Schlüsselserver zu verwenden.

Ändern Sie sekundäre Schlüsselserver

Verwenden Sie den -secondary-key-servers-Parameter des Befehls security key-manager external modify-server, um Server mit sekundärem Schlüssel zu verwalten. Der -secondary-key-servers Der Parameter akzeptiert eine durch Kommas getrennte Liste. Die in der Liste angegebene Reihenfolge der sekundären Schlüsselserver bestimmt die Zugriffsreihenfolge für die sekundären Schlüsselserver. Sie können die Zugriffsreihenfolge ändern, indem Sie den Befehl `security key-manager external modify-server`mit den sekundären Schlüsselservern in einer anderen Reihenfolge ausführen. Geben Sie für sekundäre Schlüsselserver keine Portnummer an.

Hinweis Wenn Sie die security key-manager external modify-server Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen.

Um einen sekundären Schlüsselserver zu entfernen, fügen Sie die Schlüsselserver, die Sie behalten möchten, in die Liste ein. -secondary-key-servers Parameter und lassen Sie denjenigen weg, den Sie entfernen möchten. Um alle sekundären Schlüsselserver zu entfernen, verwenden Sie das Argument - , was bedeutet, dass es keine gibt.

Konvertieren Sie primäre und sekundäre Schlüsselserver

Mit den folgenden Schritten können Sie die Bezeichnung (primär oder sekundär) bestimmter Schlüsselserver ändern.

Konvertierung eines primären Schlüsselservers in einen sekundären Schlüsselserver
Schritte

  1. Entfernen Sie den primären Schlüsselserver aus der SVM:

    security key-manager external remove-servers

    Hinweis Wenn Sie die security key-manager external remove-servers Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen.

  2. Führe dieErstellen Sie einen Cluster-Schlüsselserver Verfahren, bei dem der frühere primäre Schlüsselserver als sekundärer Schlüsselserver verwendet wird.

Konvertierung eines sekundären Schlüsselservers in einen primären Schlüsselserver
Schritte

  1. Entfernen Sie den sekundären Schlüsselserver von seinem bestehenden primären Schlüsselserver:

    security key-manager external modify-server -secondary-key-servers

  • Wenn Sie die security key-manager external modify-server -secondary-key-servers Für den Befehl auf der Admin-SVM in einer MetroCluster -Konfiguration muss der Befehl auf beiden Clustern ausgeführt werden. Wenn Sie den Befehl für eine einzelne Daten-SVM ausführen, müssen Sie den Befehl nicht auf beiden Clustern ausführen.

  • Wenn Sie einen sekundären Schlüsselserver in einen primären Schlüsselserver umwandeln, während Sie einen vorhandenen Schlüsselserver entfernen, kann der Versuch, einen neuen Schlüsselserver hinzuzufügen, bevor die Entfernung und Umwandlung abgeschlossen ist, zu einer Duplizierung der Schlüssel führen.

  1. Führe dieErstellen Sie einen Cluster-Schlüsselserver Verfahren, bei dem der frühere sekundäre Schlüsselserver als primärer Schlüsselserver des neuen Cluster-Schlüsselservers verwendet wird.

Siehe[mod-secondary] für weitere Informationen.

Verwandte Informationen