Configure servidores de claves externas en clúster en ONTAP
Sugerir cambios
PDF
A partir de ONTAP 9.11.1, se puede configurar la conectividad a los servidores de gestión de claves externos en clúster en una SVM. Con los servidores de claves en clúster, puede designar servidores de claves principales y secundarios en una SVM. Al registrar claves, ONTAP primero intentará acceder a un servidor de claves primario antes de intentar acceder secuencialmente a los servidores secundarios hasta que la operación se complete correctamente, lo que evita la duplicación de claves.
Los servidores de claves externos pueden utilizarse para las claves NSE, NVE, NAE y SED. Una SVM puede admitir hasta cuatro servidores KMIP externos principales. Cada servidor primario puede admitir hasta tres servidores de claves secundarios.
Antes de empezar
-
"La gestión de claves KMIP debe estar habilitada para la SVM".
-
Este proceso solo admite servidores de claves que utilizan KMIP. Para obtener una lista de los servidores de claves compatibles, consulte "Herramienta de matriz de interoperabilidad de NetApp".
-
Todos los nodos del clúster deben ejecutar ONTAP 9.11.1 o una versión posterior.
-
El orden de los servidores enumera los argumentos en la
-secondary-key-serversEl parámetro refleja el orden de acceso de los servidores de gestión de claves externas (KMIP). -
Obtenga más información sobre los comandos descritos en este procedimiento en la "Referencia de comandos de la ONTAP."
Cree un servidor de claves en clúster
El procedimiento de configuración depende de si se ha configurado o no un servidor de claves primario.
-
Confirme que no se ha habilitado ninguna gestión de claves para el clúster:
security key-manager external show -vserver svm_name
Si la SVM ya tiene el máximo de cuatro servidores de claves primarias habilitados, debe eliminar uno de los servidores de claves primarios existentes antes de añadir uno nuevo. -
Habilite el gestor de claves principal:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names -
Modifique el servidor de claves primario para añadir servidores de claves secundarios. La
-secondary-key-serversel parámetro acepta una lista de hasta tres servidores de claves separados por coma.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
Modifique el servidor de claves primario para añadir servidores de claves secundarios. La
-secondary-key-serversel parámetro acepta una lista de hasta tres servidores de claves separados por coma.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
Para obtener más información sobre los servidores de claves secundarios, consulte [mod-secondary].
Modifique los servidores de claves en cluster
Para modificar clústeres de servidores de claves externos, cambie el estado (principal o secundario) de servidores de claves específicos, añada o elimine servidores de claves secundarios, o cambie el orden de acceso de los servidores de claves secundarios.
Convertir servidores de claves primarios y secundarios
Para convertir un servidor de claves primario en un servidor de claves secundario, primero debe eliminarlo de la SVM con el security key-manager external remove-servers comando.
Para convertir un servidor de claves secundario en un servidor de claves primario, primero se debe quitar el servidor de claves secundario de su servidor de claves primario existente. Consulte [mod-secondary]. Si convierte un servidor de claves secundario en un servidor primario mientras elimina una clave existente, intentar agregar un servidor nuevo antes de completar la eliminación y conversión puede provocar la duplicación de claves.
Modificar servidores de claves secundarios
Los servidores de claves secundarios se gestionan con el -secondary-key-servers parámetro de security key-manager external modify-server comando. La -secondary-key-servers el parámetro acepta una lista separada por comas. El orden especificado de los servidores de claves secundarios de la lista determina la secuencia de acceso de los servidores de claves secundarios. El orden de acceso se puede modificar ejecutando el comando security key-manager external modify-server con los servidores de claves secundarios introducidos en un orden diferente.
Para eliminar un servidor de claves secundario, el -secondary-key-servers los argumentos deben incluir los servidores de claves que desea guardar mientras omite el que se va a quitar. Para quitar todos los servidores de claves secundarios, use el argumento -, significando ninguno.
Obtenga más información acerca del comando security key-manager external en la referencia de comandos de ONTAP.