Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar gestión de claves externa en ONTAP 9.6 y posterior (basada en hardware)

Colaboradores
PDF

Puede utilizar uno o varios servidores KMIP para proteger las claves que utiliza el clúster para acceder a los datos cifrados. Se pueden conectar hasta cuatro servidores KMIP a un nodo. Se recomienda un mínimo de dos servidores para la redundancia y la recuperación ante desastres.

A partir de ONTAP 9.11.1, puede agregar hasta 3 servidores de claves secundarios por servidor de claves primario para crear un servidor de claves en clúster. Para obtener más información, consulte Configurar servidores de claves externas en cluster.

Antes de empezar

  • Deben haberse instalado el cliente KMIP SSL y los certificados de servidor.

  • Para realizar esta tarea, debe ser un administrador de clústeres.

  • Debe configurar el entorno de MetroCluster antes de configurar un gestor de claves externo.

  • En un entorno MetroCluster, debe instalar el mismo certificado SSL KMIP en ambos clústeres.

Pasos

  1. Configure la conectividad del gestor de claves para el clúster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • El security key-manager external enable comando reemplaza security key-manager setup el comando. Es posible ejecutar security key-manager external modify el comando para cambiar la configuración de gestión de claves externas. Obtenga más información sobre security key-manager external enable en el "Referencia de comandos del ONTAP".

    • En un entorno MetroCluster, si se configura la gestión de claves externa para la SVM de administrador, debe repetir security key-manager external enable el comando en el clúster de socios.

    El siguiente comando habilita la gestión de claves externas cluster1 con tres servidores de claves externos. El primer servidor de claves se especifica mediante su nombre de host y puerto, el segundo se especifica mediante una dirección IP y el puerto predeterminado, y el tercero se especifica mediante una dirección IPv6 y un puerto:

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Compruebe que todos los servidores KMIP configurados están conectados:

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    Nota

    El security key-manager external show-status comando reemplaza security key-manager show -status el comando. Obtenga más información sobre security key-manager external show-status en el "Referencia de comandos del ONTAP".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.
Información relacionada