Versionshinweise
In-Band-Authentifizierung über NVMe einrichten
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.12.1 können Sie die ONTAP Befehlszeilenschnittstelle (CLI) verwenden, um die bandinterne (sichere), bidirektionale und unidirektionale Authentifizierung zwischen einem NVMe Host und Controller über die NVME/TCP- und NVMe/FC-Protokolle unter Verwendung der DH-HMAC-CHAP-Authentifizierung zu konfigurieren. Ab ONTAP 9.14.1 kann die in-Band-Authentifizierung in System Manager konfiguriert werden.
Zur Einrichtung der bandinternen Authentifizierung muss jeder Host oder Controller einem DH-HMAC-CHAP-Schlüssel zugeordnet sein. Dieser Schlüssel ist eine Kombination aus NQN des NVMe-Hosts oder -Controllers und einem vom Administrator konfigurierten Authentifizierungsschlüssel. Damit ein NVMe-Host oder -Controller seinen Peer authentifizieren kann, muss er den dem Peer zugeordneten Schlüssel kennen.
Bei der unidirektionalen Authentifizierung wird ein geheimer Schlüssel für den Host konfiguriert, nicht jedoch für den Controller. Bei der bidirektionalen Authentifizierung wird ein geheimer Schlüssel sowohl für den Host als auch für den Controller konfiguriert.
SHA-256 ist die Standard-Hash-Funktion und 2048-Bit ist die Standard-DH-Gruppe.
Ab ONTAP 9.14.1 können Sie die in-Band-Authentifizierung über System Manager bei der Erstellung oder Aktualisierung eines NVMe-Subsystems, der Erstellung oder dem Klonen von NVMe-Namespaces oder dem Hinzufügen von Konsistenzgruppen mit neuen NVMe-Namespaces konfigurieren.
-
Klicken Sie im System Manager auf Hosts > NVMe-Subsystem und dann auf Hinzufügen.
-
Fügen Sie den Namen des NVMe-Subsystems hinzu und wählen Sie die Storage-VM und das Host-Betriebssystem aus.
-
Geben Sie die Host-NQN ein.
-
Wählen Sie bandinterne Authentifizierung verwenden neben dem Host-NQN.
-
Geben Sie den Host-Schlüssel und den Controller-Schlüssel ein.
Der DH-HMAC-CHAP-Schlüssel ist eine Kombination aus dem NQN des NVMe-Hosts oder -Controllers und einem vom Administrator konfigurierten Authentifizierungsschlüssel.
-
Wählen Sie die bevorzugte Hash-Funktion und die DH-Gruppe für jeden Host aus.
Wenn Sie keine Hash-Funktion und keine DH-Gruppe auswählen, wird SHA-256 als Standard-Hash-Funktion zugewiesen und 2048-Bit als Standard-DH-Gruppe zugewiesen.
-
Klicken Sie optional auf Hinzufügen und wiederholen Sie die Schritte, um weitere Hosts hinzuzufügen.
-
Klicken Sie Auf Speichern.
-
Um zu überprüfen, ob die bandinterne Authentifizierung aktiviert ist, klicken Sie auf System Manager > Hosts > NVMe-Subsystem > Grid > Peek View.
Ein transparentes Schlüsselsymbol neben dem Hostnamen zeigt an, dass der unidirektionale Modus aktiviert ist. Ein undurchsichtiger Schlüssel neben dem Hostnamen zeigt an, dass der bidirektionale Modus aktiviert ist.
-
Fügen Sie Ihrem NVMe-Subsystem DH-HMAC-CHAP-Authentifizierung hinzu:
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit> -
Vergewissern Sie sich, dass das DH-HMAC CHAP-Authentifizierungsprotokoll Ihrem Host hinzugefügt wird:
vserver nvme subsystem host show[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode -
Überprüfen Sie, ob die DH-HMAC CHAP-Authentifizierung während der Erstellung des NVMe-Controllers durchgeführt wurde:
vserver nvme subsystem controller show[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode