Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Recuperación automatizada de medios de arranque desde el nodo asociado - FAS9500

Colaboradores dougthomp netapp-jsnyder
PDF

Después de instalar el nuevo dispositivo de medio de arranque en su sistema FAS9500 , puede iniciar el proceso de recuperación automática del medio de arranque para restaurar la configuración desde el nodo asociado. Durante la recuperación, el sistema comprueba si el cifrado está habilitado y determina el tipo de cifrado de clave utilizado. Si el cifrado de clave está habilitado, el sistema le guiará por los pasos necesarios para restaurarlo.

El proceso de recuperación automática del medio de arranque solo es compatible con ONTAP 9.17.1 y versiones posteriores. Si su sistema de almacenamiento ejecuta una versión anterior de ONTAP, utilice el "procedimiento de recuperación de arranque manual" .

Antes de empezar

  • Determine su tipo de gestor de claves:

    • Administrador de claves integrado (OKM): Requiere contraseña para todo el clúster y datos de respaldo.

    • Gestor de claves externo (EKM): Requiere los siguientes archivos del nodo asociado:

      • /cfcard/kmip/servers.cfg

      • /cfcard/kmip/certs/client.crt

      • /cfcard/kmip/certs/client.key

      • /cfcard/kmip/certs/CA.pem

Pasos

  1. Desde el indicador LOADER, inicie el proceso de recuperación del medio de arranque:

    boot_recovery -partner

    La pantalla muestra el siguiente mensaje:

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Supervise el proceso de recuperación de instalación de medios de arranque.

    El proceso finaliza y muestra el Installation complete mensaje.

  3. El sistema comprueba el cifrado y muestra uno de los siguientes mensajes:

    Si ve este mensaje…​ Realice lo siguiente…​

    key manager is not configured. Exiting.

    El cifrado no está instalado en el sistema.

    1. Espere a que aparezca la pantalla de inicio de sesión.

    2. Inicia sesión en el nodo y devuelve el almacenamiento:

      storage failover giveback -ofnode impaired_node_name

    3. Vaya al paso 6 para volver a habilitar la devolución automática si estaba deshabilitada.

    key manager is configured.

    El cifrado está instalado. Vaya al paso 4 para restaurar el administrador de claves.
    Nota Si el sistema no puede identificar la configuración del gestor de claves, muestra un mensaje de error y le solicita que confirme si el gestor de claves está configurado y de qué tipo (integrado o externo). Responda a las preguntas para continuar.

  4. Restaure el administrador de claves utilizando el procedimiento adecuado para su configuración:

    Gestión de claves incorporada (OKM)

    El sistema muestra el siguiente mensaje y comienza a ejecutar la opción 10 del menú de arranque:

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. Ingresar y Cuando se le solicite, confirme que desea iniciar el proceso de recuperación de OKM.

    2. Introduzca la contraseña para la gestión de llaves a bordo cuando se le solicite.

    3. Vuelva a introducir la contraseña cuando se le solicite confirmación.

    4. Introduzca los datos de copia de seguridad del gestor de claves integrado cuando se le solicite.

      Mostrar ejemplo de solicitud de frase de contraseña y datos de respaldo 
      Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

    5. Supervise el proceso de recuperación mientras restaura los archivos correspondientes desde el nodo asociado.

      Cuando finaliza el proceso de recuperación, el nodo se reinicia. Los siguientes mensajes indican una recuperación exitosa:

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    6. Después de reiniciar el nodo, verifique que el sistema esté de nuevo en línea y operativo.

    7. Devuelva la controladora afectada a su funcionamiento normal devolviendo su almacenamiento:

      storage failover giveback -ofnode impaired_node_name

    8. Una vez que el nodo asociado esté completamente operativo y proporcionando datos, sincronice las claves OKM en todo el clúster:

      security key-manager onboard sync

      Vaya al paso 5 para volver a habilitar la devolución automática si estaba deshabilitada.

    Gestor de claves externo (EKM)

    El sistema muestra el siguiente mensaje y comienza a ejecutar la opción 11 del menú de arranque:

    key manager is configured.
Entering Bootmenu Option 11...

    1. Introduzca los ajustes de configuración de EKM cuando se le solicite:

      1. Introduzca el contenido del certificado de cliente desde el /cfcard/kmip/certs/client.crt archivo:

        Mostrar ejemplo de contenido de certificado de cliente 
        -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

      2. Introduzca el contenido del archivo de clave de cliente desde el /cfcard/kmip/certs/client.key archivo:

        Muestra un ejemplo de contenido del archivo de clave de cliente 
        -----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

      3. Introduzca el contenido del archivo de CA(s) del servidor KMIP desde el /cfcard/kmip/certs/CA.pem archivo:

        Muestra un ejemplo de contenido del archivo del servidor KMIP 
        -----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

      4. Introduzca el contenido del archivo de configuración del servidor desde el /cfcard/kmip/servers.cfg archivo:

        Muestra un ejemplo del contenido del archivo de configuración del servidor 
        xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      5. Si se le solicita, introduzca el UUID del clúster ONTAP del nodo asociado. Puedes comprobar el UUID del clúster desde el nodo asociado utilizando el cluster identify show dominio.

        Mostrar ejemplo de solicitud UUID de clúster ONTAP 
        Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

      6. Si se le solicita, introduzca la interfaz de red temporal y la configuración del nodo:

        • La dirección IP del puerto

        • La máscara de red para el puerto

        • La dirección IP de la puerta de enlace predeterminada

          Mostrar ejemplo de avisos de configuración de red temporales 
          In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

    2. Verifique el estado de restauración de la clave:

      • Si ves kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 En la salida, se muestra que la configuración EKM se ha restaurado correctamente. El proceso restaura los archivos correspondientes del nodo asociado y reinicia el nodo. Pase al siguiente paso.

      • Si la clave no se restaura correctamente, el sistema se detiene y muestra mensajes de error y advertencia. Vuelva a ejecutar el proceso de recuperación desde el símbolo del sistema del cargador: boot_recovery -partner

        Muestre un ejemplo de mensajes de error y advertencia de recuperación de claves 
        ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    3. Después de reiniciar el nodo, verifique que el sistema esté de nuevo en línea y operativo.

    4. Devuelva el funcionamiento normal de la controladora y devuelva su almacenamiento:

      storage failover giveback -ofnode impaired_node_name

      Vaya al paso 5 para volver a habilitar la devolución automática si estaba deshabilitada.

  5. Si la devolución automática está desactivada, vuelva a habilitarla:

    storage failover modify -node local -auto-giveback true

  6. Si AutoSupport está habilitado, restaure la creación automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

El futuro

Después de haber restaurado la imagen ONTAP y el nodo esté activo y sirviendo datos, usted"Devuelva la pieza fallida a NetApp".