Versionshinweise
Konfigurieren Sie externe geclusterte Schlüsselserver
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.11.1 können Sie die Konnektivität mit externen Verschlüsselungsmanagement-Servern auf einer SVM konfigurieren. Mit geclusterten Key Servern können Sie primäre und sekundäre Schlüsselserver auf einer SVM zuweisen. Bei der Registrierung von Schlüsseln versucht ONTAP zuerst, auf einen primären Schlüsselserver zuzugreifen, bevor nacheinander versucht wird, auf sekundäre Server zuzugreifen, bis der Vorgang erfolgreich abgeschlossen ist. Dadurch wird die Duplizierung von Schlüsseln verhindert.
Externe Schlüsselserver können für NSE-, NVE-, NAE- und SED-Schlüssel verwendet werden. Eine SVM kann bis zu vier primäre externe KMIP-Server unterstützen. Jeder primäre Server kann bis zu drei sekundäre Schlüsselserver unterstützen.
Bevor Sie beginnen
-
"KMIP-Verschlüsselungsmanagement muss für die SVM aktiviert sein".
-
Dieser Prozess unterstützt nur wichtige Server, die KMIP verwenden. Eine Liste der unterstützten Schlüsselserver finden Sie in "NetApp Interoperabilitäts-Matrix-Tool".
-
Alle Nodes im Cluster müssen ONTAP 9.11.1 oder höher ausführen.
-
In der Reihenfolge der Server sind die Argumente im aufgelistet
-secondary-key-serversDer Parameter gibt die Zugriffsreihenfolge der KMIP-Server (External Key Management) wieder.
Erstellen Sie einen Cluster-Schlüsselserver
Das Konfigurationsverfahren hängt davon ab, ob Sie einen primären Schlüsselserver konfiguriert haben oder nicht.
-
Vergewissern Sie sich, dass für das Cluster kein Verschlüsselungsmanagement aktiviert wurde:
security key-manager external show -vserver svm_name
Wenn für die SVM bereits maximal vier primäre Schlüsselserver aktiviert sind, müssen Sie einen der vorhandenen primären Schlüsselserver entfernen, bevor Sie einen neuen hinzufügen. -
Aktivieren Sie den primären Schlüsselmanager:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names -
Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der
-secondary-key-serversDer Parameter akzeptiert eine kommagetrennte Liste mit bis zu drei Schlüsselservern.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der
-secondary-key-serversDer Parameter akzeptiert eine kommagetrennte Liste mit bis zu drei Schlüsselservern.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
Weitere Informationen zu sekundären Schlüsselservern finden Sie unter [mod-secondary].
Cluster-Key-Server ändern
Sie können externe Schlüsselserver-Cluster ändern, indem Sie den Status (primäre oder sekundäre) bestimmter Schlüsselserver ändern, sekundäre Schlüsselserver hinzufügen und entfernen oder die Zugriffsreihenfolge von sekundären Schlüsselservern ändern.
Konvertieren Sie primäre und sekundäre Schlüsselserver
Um einen primären Schlüsselserver in einen sekundären Schlüsselserver zu konvertieren, müssen Sie ihn zuerst mit der von der SVM entfernen security key-manager external remove-servers Befehl.
Um einen sekundären Schlüsselserver in einen primären Schlüsselserver zu konvertieren, müssen Sie zuerst den sekundären Schlüsselserver vom vorhandenen primären Schlüsselserver entfernen. Siehe [mod-secondary]. Wenn Sie einen sekundären Schlüsselserver beim Entfernen eines vorhandenen Schlüssels in einen primären Server konvertieren, kann der Versuch, einen neuen Server hinzuzufügen, bevor Sie den Schlüssel entfernen und konvertieren, zu einer doppelten Tastenanfügung führen.
Ändern Sie sekundäre Schlüsselserver
Sekundäre Schlüsselserver werden mit dem verwaltet -secondary-key-servers Parameter von security key-manager external modify-server Befehl. Der -secondary-key-servers Parameter akzeptiert eine kommagetrennte Liste. Die angegebene Reihenfolge der sekundären Schlüsselserver in der Liste bestimmt die Zugriffssequenz für die sekundären Schlüsselserver. Die Zugriffsreihenfolge kann durch Ausführen des Befehls geändert werden security key-manager external modify-server Bei der Eingabe der sekundären Schlüssel-Server in einer anderen Reihenfolge.
Um einen sekundären Schlüsselserver zu entfernen, wird der verwendet -secondary-key-servers Argumente sollten die wichtigsten Server enthalten, die Sie beibehalten möchten, während Sie die zu entfernenden nicht zulassen. Um alle sekundären Schlüsselserver zu entfernen, verwenden Sie das Argument -, Keine zu deuten.
Weitere Informationen finden Sie im security key-manager external Auf der "Befehlsreferenz für ONTAP".