Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Recuperación automatizada de medios de arranque desde el nodo asociado - AFF C80

Colaboradores netapp-lisa netapp-jsnyder
PDF

Tras instalar el nuevo dispositivo de arranque en su sistema de almacenamiento AFF C80, puede iniciar el proceso de recuperación automática del dispositivo de arranque para restaurar la configuración desde el nodo asociado. Durante el proceso de recuperación, el sistema comprueba si el cifrado está habilitado y determina el tipo de cifrado de clave utilizado. Si el cifrado de clave está habilitado, el sistema le guiará por los pasos necesarios para restaurarlo.

El proceso de recuperación automática del medio de arranque solo es compatible con ONTAP 9.17.1 y versiones posteriores. Si su sistema de almacenamiento ejecuta una versión anterior de ONTAP, utilice el "procedimiento de recuperación de arranque manual" .

Antes de empezar

  • Para OKM, necesita la frase de contraseña de todo el clúster y también los datos de respaldo.

  • Para EKM, necesita copias de los siguientes archivos del nodo asociado:

    • archivo /cfcard/kmip/servers.cfg.

    • archivo /cfcard/kmip/certs/client.crt.

    • archivo /cfcard/kmip/certs/client.key.

    • Archivo /cfcard/kmip/certs/ca.pem.

Pasos

  1. En el símbolo del SISTEMA de Loader, introduzca el comando:

    boot_recovery -partner

    La pantalla muestra el siguiente mensaje:

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Supervise el proceso de recuperación de instalación de medios de arranque.

    El proceso finaliza y muestra el Installation complete mensaje.

  3. El sistema comprueba el tipo de cifrado y cifrado y muestra uno de los dos mensajes. En función del mensaje que se muestre, realice una de las siguientes acciones:

    Importante En ocasiones, es posible que el proceso no pueda identificar si el gestor de claves está configurado en el sistema. Mostrará un mensaje de error, preguntará si el gestor de claves está configurado para el sistema y, a continuación, preguntará qué tipo de gestor de claves está configurado. El proceso se reanudará después de resolver el problema.
    Mostrar ejemplo de error de configuración al buscar peticiones de datos 
    Error when fetching key manager config from partner ${partner_ip}: ${status}

Has key manager been configured on this system

Is the key manager onboard
    Si ve este mensaje…​ Realice lo siguiente…​

    key manager is not configured. Exiting.

    El cifrado no está instalado en el sistema. Complete los siguientes pasos:

    1. Inicie sesión en el nodo cuando se muestre el aviso de inicio de sesión y devuelva el almacenamiento:

      storage failover giveback -ofnode impaired_node_name

    2. Vaya al paso 5 para activar la devolución automática del control si se deshabilitó.

    key manager is configured.

    Vaya al paso 4 para restaurar el administrador de claves adecuado.

    El nodo accede al menú de arranque y ejecuta:

    • Opción 10 para sistemas con gestor de claves incorporado (OKM).

    • Opción 11 para sistemas con External Key Manager (EKM).

  4. Seleccione el proceso de restauración del gestor de claves adecuado.

    Gestión de claves incorporada (OKM)

    Si se detecta OKM, el sistema muestra el siguiente mensaje y comienza a ejecutar la opción de menú de inicio 10.

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. Introduzca Y en el prompt para confirmar que desea iniciar el proceso de recuperación de OKM.

    2. Ingrese lo siguiente cuando se le solicite:

      1. La frase de contraseña

      2. La frase de contraseña nuevamente cuando se le solicite confirmar

      3. Copia de seguridad de datos para el administrador de claves integrado

        Mostrar ejemplo de solicitud de frase de contraseña y datos de respaldo 
        Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

    3. Seguir supervisando el proceso de recuperación mientras restaura los archivos adecuados desde el nodo asociado.

      Cuando se complete el proceso de recuperación, el nodo se reiniciará. Los siguientes mensajes indican una recuperación correcta:

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    4. Cuando el nodo se reinicia, compruebe que la recuperación del medio de arranque se haya realizado correctamente confirmando que el sistema vuelva a estar conectado y operativo.

    5. Devuelva la controladora afectada a su funcionamiento normal devolviendo su almacenamiento:

      storage failover giveback -ofnode impaired_node_name

    6. Una vez que el nodo asociado esté completamente activo y sirviendo datos, sincronice las claves OKM en todo el clúster.

      security key-manager onboard sync

    Gestor de claves externo (EKM)

    Si se detecta EKM, el sistema muestra el siguiente mensaje y comienza a ejecutar la opción de menú de inicio 11.

    key manager is configured.
Entering Bootmenu Option 11...

    1. El siguiente paso depende de la versión de ONTAP que ejecute su sistema:

      Si el sistema se está ejecutando…​ Realice lo siguiente…​

      ONTAP 9.16.0

      1. Pulse Ctlr-C para salir de la opción de menú de inicio 11.

      2. Pulse Ctlr-C para salir del proceso de configuración de EKM y volver al menú de inicio.

      3. Seleccione la opción de menú de inicio 8.

      4. Reiniciar el nodo.

        Si AUTOBOOT está establecido, el nodo se reinicia y utiliza los archivos de configuración del nodo compañero.

        `AUTOBOOT`Si no está definido, introduzca el comando de inicio adecuado. El nodo reinicia y usa los archivos de configuración del nodo compañero.

      5. Reinicie el nodo para que EKM proteja la partición del medio de arranque.

      6. Continúe con el paso c..

      ONTAP 9.16.1 y posteriores

      Continúe con el próximo paso.

    2. Introduzca el siguiente ajuste de configuración de EKM cuando se le solicite:

      Acción Ejemplo

      Introduzca el contenido del certificado de cliente desde /cfcard/kmip/certs/client.crt el archivo.
      Mostrar ejemplo de contenido de certificado de cliente 
      -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

      Introduzca el contenido del archivo de claves de cliente desde /cfcard/kmip/certs/client.key el archivo.
      Muestra un ejemplo de contenido del archivo de clave de cliente 
      -----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

      Introduzca el contenido del archivo de CA del servidor KMIP desde /cfcard/kmip/certs/CA.pem el archivo.
      Muestra un ejemplo de contenido del archivo del servidor KMIP 
      -----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

      Introduzca el contenido del archivo de configuración del servidor del /cfcard/kmip/servers.cfg archivo.
      Muestra un ejemplo del contenido del archivo de configuración del servidor 
      xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      Si se le solicita, introduzca el UUID de clúster ONTAP del partner.

      Puede comprobar el UUID del clúster desde el nodo asociado mediante el cluster identify show dominio.
      Muestra el ejemplo de UUID de clúster ONTAP 
      Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

      Si se le solicita, introduzca la interfaz de red temporal y la configuración del nodo.

      Necesitas ingresar:

      1. La dirección IP del puerto

      2. La máscara de red para el puerto

      3. La dirección IP de la puerta de enlace predeterminada
      Mostrar ejemplo de una configuración de red temporal 
      In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

    3. En función de si la clave se ha restaurado correctamente, realice una de las siguientes acciones:

      • Si lo ves kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 En la salida, la configuración de EKM se ha restaurado correctamente.

        El proceso intenta restaurar los archivos apropiados del nodo asociado y reinicia el nodo. Vaya al paso d.

      • Si la clave no se restaura exitosamente, el sistema se detendrá e indicará que no pudo restaurar la clave. Se muestran los mensajes de error y advertencia. Debe volver a ejecutar el proceso de recuperación:

        boot_recovery -partner

      Muestre un ejemplo de mensajes de error y advertencia de recuperación de claves 
      ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    4. Cuando el nodo se reinicia, compruebe que la recuperación del medio de arranque se haya realizado correctamente confirmando que el sistema vuelva a estar en línea y operativo.

    5. Devuelva el funcionamiento normal de la controladora y devuelva su almacenamiento:

      storage failover giveback -ofnode impaired_node_name

  5. Si la devolución automática está desactivada, vuelva a habilitarla:

    storage failover modify -node local -auto-giveback true

  6. Si AutoSupport está habilitado, restaure la creación automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

El futuro

Después de haber restaurado la imagen ONTAP y el nodo esté activo y sirviendo datos, usted"Devuelva la pieza fallida a NetApp".