Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume

Beitragende
PDFs

Sie können die volume move start volume encryption conversion start Verschlüsselung für ein vorhandenes Volume mit dem Befehl oder mit dem Befehl aktivieren.

Über diese Aufgabe

  • Ab ONTAP 9.3 können Sie mit dem volume encryption conversion start Befehl die Verschlüsselung eines vorhandenen Volumes aktivieren, ohne das Volume an einen anderen Speicherort verschieben zu müssen. Alternativ können Sie den volume move start Befehl verwenden.

  • Für ONTAP 9 2 und früher können Sie nur den volume move start Befehl verwenden, um Verschlüsselung durch Verschieben eines vorhandenen Volumes zu aktivieren.

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume mit dem Befehl zur Konvertierung der Volume-Verschlüsselung

Ab ONTAP 9.3 können Sie mit dem volume encryption conversion start Befehl die Verschlüsselung eines vorhandenen Volumes aktivieren, ohne das Volume an einen anderen Speicherort verschieben zu müssen.

Nachdem Sie eine Konvertierung gestartet haben, muss diese abgeschlossen sein. Falls während des Vorgangs ein Performance-Problem auftritt, können Sie den volume encryption conversion pause Befehl ausführen, um den Vorgang anzuhalten, und den volume encryption conversion resume Befehl, um den Vorgang fortzusetzen.

Hinweis Sie können nicht volume encryption conversion start zum Konvertieren eines SnapLock-Volumes verwenden.
Schritte

  1. Verschlüsselung auf einem vorhandenen Volume aktivieren:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird die Verschlüsselung auf einem vorhandenen Volume aktiviert vol1:

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    Das System erstellt einen Verschlüsselungsschlüssel für das Volume. Die Daten auf dem Volume werden verschlüsselt.

  2. Überprüfen Sie den Status des Konvertierungsvorgangs:

    volume encryption conversion show

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird der Status des Konvertierungsvorgangs angezeigt:

    cluster1::> volume encryption conversion show

Vserver   Volume   Start Time           Status
-------   ------   ------------------   ---------------------------
vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.

  3. Wenn der Konvertierungsvorgang abgeschlossen ist, überprüfen Sie, ob das Volume für die Verschlüsselung aktiviert ist:

    volume show -is-encrypted true

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Der folgende Befehl zeigt die verschlüsselten Volumes an cluster1:

    cluster1::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Ergebnis

Wenn Sie einen KMIP-Server zum Speichern der Schlüssel für einen Node verwenden, sendet ONTAP bei der Verschlüsselung eines Volumes automatisch „schiebt“ einen Verschlüsselungsschlüssel an den Server.

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume mit dem Befehl Volume move Start

Sie können die volume move start Verschlüsselung mit dem Befehl durch das Verschieben eines vorhandenen Volumes aktivieren. Sie müssen volume move start in ONTAP 9 2 und früher verwenden. Sie können dasselbe oder ein anderes Aggregat verwenden.

Über diese Aufgabe

  • Ab ONTAP 9.8 können Sie volume move start die Verschlüsselung auf einem SnapLock oder FlexGroup Volume aktivieren.

  • Wenn Sie ab ONTAP 9.4 „cc-Mode“ aktivieren, wenn Sie den integrierten Schlüsselmanager einrichten, volume move start werden die mit dem Befehl erstellten Volumes automatisch verschlüsselt. Sie müssen nicht angeben -encrypt-destination true.

  • Ab ONTAP 9.6 können Sie mithilfe der Verschlüsselung auf Aggregatebene dem enthaltenden Aggregat Schlüssel zuweisen, damit die Volumes verschoben werden können. Ein mit einem eindeutigen Schlüssel verschlüsseltes Volume wird als „NVE Volume“ bezeichnet (d. h., es verwendet NetApp Volume Encryption). Ein mit einem Aggregatschlüssel verschlüsseltes Volume wird als NAE Volume (für NetApp Aggregate Encryption) bezeichnet. Klartext-Volumes werden in NAE-Aggregaten nicht unterstützt.

  • Ab ONTAP 9.14.1 können Sie ein SVM Root-Volume mit NVE verschlüsseln. Weitere Informationen finden Sie unter Konfiguration der NetApp-Volume-Verschlüsselung auf einem SVM-Root-Volume.

Bevor Sie beginnen

Sie müssen ein Cluster-Administrator sein, um diese Aufgabe durchzuführen, oder ein SVM-Administrator, an den der Cluster-Administrator die Berechtigungen delegiert hat.

"Delegieren von Berechtigungen zum Ausführen des Befehls zum Verschieben von Volumes"

Schritte

  1. Verschieben Sie ein vorhandenes Volume und geben Sie an, ob die Verschlüsselung auf dem Volume aktiviert ist:

    Konvertieren…​

    Befehl

    Ein Klartext-Volume auf ein NVE Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    Ein NVE oder Klartext Volume auf ein NAE Volume (vorausgesetzt, die Verschlüsselung auf Aggregatebene ist auf dem Zielsystem aktiviert)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    Ein NAE-Volume auf ein NVE Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    Ein NAE Volume auf ein Klartext-Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    Ein NVE Volume auf ein Klartext-Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird ein Klartext-Volume vol1 mit dem Namen in ein NVE Volume konvertiert:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    Wenn die Verschlüsselung auf Aggregatebene auf dem Ziel aktiviert ist, konvertiert der folgende Befehl ein NVE- oder nur-Text- `vol1`Volume mit dem Namen in ein NAE-Volume:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    Mit dem folgenden Befehl wird ein NAE-Volume vol2 mit dem Namen in ein NVE Volume konvertiert:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    Mit dem folgenden Befehl wird ein NAE-Volume vol2 mit dem Namen in ein Klartext-Volume konvertiert:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    Mit dem folgenden Befehl wird ein NVE Volume mit dem Namen vol2 in ein Klartext-Volume konvertiert:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false

  2. Zeigen Sie den Verschlüsselungstyp von Cluster Volumes an:

    volume show -fields encryption-type none|volume|aggregate

    Das encryption-type Feld ist ab ONTAP 9.6 verfügbar.

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Der folgende Befehl zeigt den Verschlüsselungstyp von Volumes in an cluster2:

    cluster2::> volume show -fields encryption-type

vserver  volume  encryption-type
-------  ------  ---------------
vs1      vol1    none
vs2      vol2    volume
vs3      vol3    aggregate

  3. Vergewissern Sie sich, dass Volumes für die Verschlüsselung aktiviert sind:

    volume show -is-encrypted true

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Der folgende Befehl zeigt die verschlüsselten Volumes an cluster2:

    cluster2::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Ergebnis

Wenn Sie einen KMIP-Server zur Speicherung der Verschlüsselungsschlüssel für einen Node verwenden, überträgt ONTAP bei der Verschlüsselung eines Volumes automatisch einen Verschlüsselungsschlüssel an den Server.