Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar servidores de claves externas en cluster

Colaboradores

A partir de ONTAP 9.11.1, se puede configurar la conectividad a los servidores de gestión de claves externos en clúster en una SVM. Con los servidores de claves en clúster, puede designar servidores de claves principales y secundarios en una SVM. Al registrar claves, ONTAP primero intentará acceder a un servidor de claves primario antes de intentar acceder secuencialmente a los servidores secundarios hasta que la operación se complete correctamente, lo que evita la duplicación de claves.

Los servidores de claves externos pueden utilizarse para las claves NSE, NVE, NAE y SED. Una SVM puede admitir hasta cuatro servidores KMIP externos principales. Cada servidor primario puede admitir hasta tres servidores de claves secundarios.

Antes de empezar

Cree un servidor de claves en clúster

El procedimiento de configuración depende de si se ha configurado o no un servidor de claves primario.

Añada servidores de claves primarios y secundarios a una SVM
  1. Confirme que no se ha habilitado ninguna gestión de claves para el clúster:
    security key-manager external show -vserver svm_name
    Si la SVM ya tiene el máximo de cuatro servidores de claves primarias habilitados, debe eliminar uno de los servidores de claves primarios existentes antes de añadir uno nuevo.

  2. Habilite el gestor de claves principal:
    security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names

  3. Modifique el servidor de claves primario para añadir servidores de claves secundarios. La -secondary-key-servers el parámetro acepta una lista de hasta tres servidores de claves separados por coma.
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

Añadir servidores de claves secundarios a un servidor de claves primario existente
  1. Modifique el servidor de claves primario para añadir servidores de claves secundarios. La -secondary-key-servers el parámetro acepta una lista de hasta tres servidores de claves separados por coma.
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
    Para obtener más información sobre los servidores de claves secundarios, consulte [mod-secondary].

Modifique los servidores de claves en cluster

Para modificar clústeres de servidores de claves externos, cambie el estado (principal o secundario) de servidores de claves específicos, añada o elimine servidores de claves secundarios, o cambie el orden de acceso de los servidores de claves secundarios.

Convertir servidores de claves primarios y secundarios

Para convertir un servidor de claves primario en un servidor de claves secundario, primero debe eliminarlo de la SVM con el security key-manager external remove-servers comando.

Para convertir un servidor de claves secundario en un servidor de claves primario, primero se debe quitar el servidor de claves secundario de su servidor de claves primario existente. Consulte [mod-secondary]. Si convierte un servidor de claves secundario en un servidor primario mientras elimina una clave existente, intentar agregar un servidor nuevo antes de completar la eliminación y conversión puede provocar la duplicación de claves.

Modificar servidores de claves secundarios

Los servidores de claves secundarios se gestionan con el -secondary-key-servers parámetro de security key-manager external modify-server comando. La -secondary-key-servers el parámetro acepta una lista separada por comas. El orden especificado de los servidores de claves secundarios de la lista determina la secuencia de acceso de los servidores de claves secundarios. El orden de acceso se puede modificar ejecutando el comando security key-manager external modify-server con los servidores de claves secundarios introducidos en un orden diferente.

Para eliminar un servidor de claves secundario, el -secondary-key-servers los argumentos deben incluir los servidores de claves que desea guardar mientras omite el que se va a quitar. Para quitar todos los servidores de claves secundarios, use el argumento -, significando ninguno.

Para obtener más información, consulte security key-manager external en la "Referencia de comandos de la ONTAP".