Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume

Beitragende

Sie können entweder die verwenden volume move start Oder im volume encryption conversion start Den Befehl, um die Verschlüsselung auf einem vorhandenen Volume zu aktivieren.

Über diese Aufgabe
  • Ab ONTAP 9.3 können Sie den verwenden volume encryption conversion start Befehl, um die Verschlüsselung eines vorhandenen Volume „in place“ zu aktivieren, ohne das Volume an einen anderen Speicherort verschieben zu müssen. Alternativ können Sie den verwenden volume move start Befehl.

  • Bei ONTAP 9.2 und älteren Versionen können Sie nur die verwenden volume move start Befehl zum Aktivieren der Verschlüsselung durch Verschieben eines vorhandenen Volumes

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume mit dem Befehl zur Konvertierung der Volume-Verschlüsselung

Ab ONTAP 9.3 können Sie den verwenden volume encryption conversion start Befehl, um die Verschlüsselung eines vorhandenen Volume „in place“ zu aktivieren, ohne das Volume an einen anderen Speicherort verschieben zu müssen.

Nachdem Sie eine Konvertierung gestartet haben, muss diese abgeschlossen sein. Wenn während des Vorgangs ein Leistungsproblem auftritt, können Sie das ausführen volume encryption conversion pause Befehl zum Anhalten des Vorgangs, und volume encryption conversion resume Befehl zum Fortsetzen des Vorgangs.

Hinweis Verwenden Sie ihn nicht volume encryption conversion start Um ein SnapLock Volume zu konvertieren.
Schritte
  1. Verschlüsselung auf einem vorhandenen Volume aktivieren:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird die Verschlüsselung für ein vorhandenes Volume aktiviert vol1:

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    Das System erstellt einen Verschlüsselungsschlüssel für das Volume. Die Daten auf dem Volume werden verschlüsselt.

  2. Überprüfen Sie den Status des Konvertierungsvorgangs:

    volume encryption conversion show

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird der Status des Konvertierungsvorgangs angezeigt:

    cluster1::> volume encryption conversion show
    
    Vserver   Volume   Start Time           Status
    -------   ------   ------------------   ---------------------------
    vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.
  3. Wenn der Konvertierungsvorgang abgeschlossen ist, überprüfen Sie, ob das Volume für die Verschlüsselung aktiviert ist:

    volume show -is-encrypted true

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl werden die verschlüsselten Volumes auf angezeigt cluster1:

    cluster1::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Ergebnis

Wenn Sie einen KMIP-Server zum Speichern der Schlüssel für einen Node verwenden, sendet ONTAP bei der Verschlüsselung eines Volumes automatisch „schiebt“ einen Verschlüsselungsschlüssel an den Server.

Aktivieren Sie die Verschlüsselung auf einem vorhandenen Volume mit dem Befehl Volume move Start

Sie können das verwenden volume move start Befehl zum Aktivieren der Verschlüsselung durch Verschieben eines vorhandenen Volumes Sie müssen verwenden volume move start In ONTAP 9.2 und früher. Sie können dasselbe oder ein anderes Aggregat verwenden.

Über diese Aufgabe
  • Ab ONTAP 9.8 können Sie dies nutzen volume move start Aktivieren der Verschlüsselung auf einem SnapLock oder FlexGroup Volume

  • Beginnend mit ONTAP 9.4, wenn Sie beim Einrichten des Onboard Key Managers „cc-Mode“ aktivieren, werden die mit dem erstellten Volumes erstellt volume move start Befehl wird automatisch verschlüsselt. Sie müssen nicht angeben -encrypt-destination true.

  • Ab ONTAP 9.6 können Sie mithilfe der Verschlüsselung auf Aggregatebene dem enthaltenden Aggregat Schlüssel zuweisen, damit die Volumes verschoben werden können. Ein mit einem eindeutigen Schlüssel verschlüsseltes Volume wird als „NVE Volume“ bezeichnet (d. h., es verwendet NetApp Volume Encryption). Ein mit einem Aggregatschlüssel verschlüsseltes Volume wird als NAE Volume (für NetApp Aggregate Encryption) bezeichnet. Klartext-Volumes werden in NAE-Aggregaten nicht unterstützt.

  • Ab ONTAP 9.14.1 können Sie ein SVM Root-Volume mit NVE verschlüsseln. Weitere Informationen finden Sie unter Konfiguration der NetApp-Volume-Verschlüsselung auf einem SVM-Root-Volume.

Bevor Sie beginnen

Sie müssen ein Cluster-Administrator sein, um diese Aufgabe durchzuführen, oder ein SVM-Administrator, an den der Cluster-Administrator die Berechtigungen delegiert hat.

Schritte
  1. Verschieben Sie ein vorhandenes Volume und geben Sie an, ob die Verschlüsselung auf dem Volume aktiviert ist:

    Konvertieren…​

    Befehl

    Ein Klartext-Volume auf ein NVE Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    Ein NVE oder Klartext Volume auf ein NAE Volume (vorausgesetzt, die Verschlüsselung auf Aggregatebene ist auf dem Zielsystem aktiviert)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    Ein NAE-Volume auf ein NVE Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    Ein NAE-Volumen zu einem Klartext-Volumen

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    Ein NVE Volume auf ein Klartext-Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird ein Klartext-Volume mit dem Namen konvertiert vol1 Zu einem NVE Volume:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    Wenn die Verschlüsselung auf Aggregatebene auf dem Zielsystem aktiviert ist, wird mit dem folgenden Befehl ein NVE oder ein Klartext Volume mit dem Namen konvertiert vol1 Zu einem NAE-Band:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    Mit dem folgenden Befehl wird ein NAE-Volume mit dem Namen konvertiert vol2 Zu einem NVE Volume:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    Mit dem folgenden Befehl wird ein NAE-Volume mit dem Namen konvertiert vol2 Zu einem Klartext-Volumen:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    Mit dem folgenden Befehl wird ein NVE-Volume mit dem Namen konvertiert vol2 Zu einem Klartext-Volumen:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
  2. Zeigen Sie den Verschlüsselungstyp von Cluster Volumes an:

    volume show -fields encryption-type none|volume|aggregate

    Der encryption-type Field steht in ONTAP 9.6 und höher zur Verfügung.

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl wird der Verschlüsselungstyp von Volumes in angezeigt cluster2:

    cluster2::> volume show -fields encryption-type
    
    vserver  volume  encryption-type
    -------  ------  ---------------
    vs1      vol1    none
    vs2      vol2    volume
    vs3      vol3    aggregate
  3. Vergewissern Sie sich, dass Volumes für die Verschlüsselung aktiviert sind:

    volume show -is-encrypted true

    Die gesamte Befehlssyntax finden Sie auf der man-Page für den Befehl.

    Mit dem folgenden Befehl werden die verschlüsselten Volumes auf angezeigt cluster2:

    cluster2::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Ergebnis

Wenn Sie einen KMIP-Server zur Speicherung der Verschlüsselungsschlüssel für einen Node verwenden, überträgt ONTAP bei der Verschlüsselung eines Volumes automatisch einen Verschlüsselungsschlüssel an den Server.