Configure servidores de claves externas en clúster en ONTAP
Sugerir cambios
PDF
A partir de ONTAP 9.11.1, puede configurar la conectividad a servidores de administración de claves externos agrupados en un SVM. Con servidores de claves agrupados, puede designar servidores de claves principales y secundarios en una SVM. Al registrar o recuperar claves, ONTAP primero intenta acceder al servidor de clave principal antes de intentar acceder secuencialmente a los servidores secundarios hasta que la operación se complete exitosamente.
Puede utilizar servidores de claves externos para claves NetApp Storage Encryption (NSE), NetApp Volume Encryption (NVE) y NetApp Aggregate Encryption (NAE). Una SVM puede admitir hasta cuatro servidores KMIP externos primarios. Cada servidor principal puede admitir hasta tres servidores clave secundarios.
-
Este proceso solo admite servidores de claves que utilizan KMIP. Para obtener una lista de los servidores de claves compatibles, compruebe el "Herramienta de matriz de interoperabilidad de NetApp".
-
"La gestión de claves KMIP debe estar habilitada para la SVM".
-
Todos los nodos del clúster deben ejecutar ONTAP 9.11.1 o una versión posterior.
-
El orden de los servidores enumerados en el
-secondary-key-serversEl parámetro refleja el orden de acceso de los servidores de administración de claves externas (KMIP).
Cree un servidor de claves en clúster
El procedimiento de configuración depende de si se ha configurado o no un servidor de claves primario.
-
Confirme que no se ha habilitado ninguna administración de claves para el clúster (SVM de administrador):
security key-manager external show -vserver <svm_name>Si la SVM ya tiene habilitado el máximo de cuatro servidores de clave principal, debe eliminar uno de los servidores de clave principal existentes antes de agregar uno nuevo.
-
Habilitar el administrador de claves principal:
security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>-
Si no especifica un puerto en el
-key-serversparámetro, se utiliza el puerto predeterminado 5696.
Si está ejecutando el security key-manager external enablecomando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres. NetApp recomienda encarecidamente utilizar los mismos servidores clave en ambos clústeres.
-
-
Modifique el servidor de clave principal para agregar servidores de clave secundaria. El
-secondary-key-serversEl parámetro acepta una lista separada por comas de hasta tres servidores clave:security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>-
No incluya un número de puerto para servidores de clave secundaria en el
-secondary-key-serversparámetro. Utiliza el mismo número de puerto que el servidor de clave principal.
Si está ejecutando el security key-manager externalcomando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres. NetApp recomienda encarecidamente utilizar los mismos servidores clave en ambos clústeres.
-
-
Modifique el servidor de clave principal para agregar servidores de clave secundaria. El
-secondary-key-serversEl parámetro acepta una lista separada por comas de hasta tres servidores clave:security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>-
No incluya un número de puerto para servidores de clave secundaria en el
-secondary-key-serversparámetro. Utiliza el mismo número de puerto que los servidores de clave principal.
Si está ejecutando el security key-manager external modify-servercomando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres. NetApp recomienda encarecidamente utilizar los mismos servidores clave en ambos clústeres.
-
Para obtener más información sobre los servidores de claves secundarias, consulte [mod-secondary].
Modifique los servidores de claves en cluster
Puede modificar servidores de claves externos agrupados agregando y eliminando servidores de claves secundarios, cambiando el orden de acceso de los servidores de claves secundarios o cambiando la designación (principal o secundaria) de servidores de claves particulares. Si modifica servidores de clave externos agrupados en una configuración de MetroCluster , NetApp recomienda enfáticamente utilizar los mismos servidores de clave en ambos clústeres.
Modificar servidores de claves secundarios
Utilice el parámetro -secondary-key-servers del comando security key-manager external modify-server para gestionar servidores de claves secundarios. El -secondary-key-servers El parámetro acepta una lista separada por comas. El orden especificado de los servidores de clave secundaria en la lista determina la secuencia de acceso para los servidores de clave secundaria. Puede modificar el orden de acceso ejecutando el comando security key-manager external modify-server con los servidores de claves secundarios introducidos en una secuencia diferente. No incluya un número de puerto para servidores de clave secundaria.
|
|
Si está ejecutando el security key-manager external modify-server comando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres.
|
Para eliminar un servidor de clave secundaria, incluya los servidores de clave que desea conservar en el -secondary-key-servers parámetro y omite el que deseas eliminar. Para eliminar todos los servidores de claves secundarias, utilice el argumento - , que significa ninguno.
Convertir servidores de claves primarios y secundarios
Puede utilizar los siguientes pasos para cambiar la designación (principal o secundaria) de servidores de claves particulares.
-
Eliminar el servidor de clave principal de la SVM:
security key-manager external remove-servers
Si está ejecutando el security key-manager external remove-serverscomando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres. -
Realizar elCree un servidor de claves en clúster procedimiento que utiliza el antiguo servidor de clave principal como servidor de clave secundaria.
-
Eliminar el servidor de clave secundaria de su servidor de clave principal existente:
security key-manager external modify-server -secondary-key-servers
-
Si está ejecutando el
security key-manager external modify-server -secondary-key-serverscomando para el SVM de administrador en una configuración de MetroCluster , debe ejecutar el comando en ambos clústeres. Si está ejecutando el comando para un SVM de datos individual, no necesita ejecutar el comando en ambos clústeres. -
Si convierte un servidor de clave secundario en un servidor de clave principal mientras elimina un servidor de clave existente, intentar agregar un nuevo servidor de clave antes de completar la eliminación y la conversión puede generar la duplicación de claves.
-
Realizar elCree un servidor de claves en clúster procedimiento que utiliza el antiguo servidor de clave secundaria como servidor de clave principal del nuevo servidor de clave agrupado.
Referirse a[mod-secondary] Para más información.
-
Obtenga más información sobre
security key-manager externalen el"Referencia de comandos del ONTAP"