Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar la administración de claves externas para NVE en ONTAP 9.6 y versiones posteriores

Colaboradores netapp-aoife netapp-barbe netapp-aaron-holt netapp-ahibbard netapp-bhouser netapp-folivia netapp-thomi netapp-aherbin
PDF

Utilice servidores KMIP para proteger las claves que utiliza el clúster para acceder a datos cifrados. A partir de ONTAP 9.6, tiene la opción de configurar un administrador de claves externo independiente para proteger las claves que utiliza una SVM de datos para acceder a datos cifrados.

A partir de ONTAP 9.11.1, puede agregar hasta 3 servidores de claves secundarios por servidor de claves primario para crear un servidor de claves en clúster. Para obtener más información, consulte Configurar servidores de claves externas en cluster.

Acerca de esta tarea

Puede conectar hasta cuatro servidores KMIP a un clúster o SVM. Utilice al menos dos servidores para redundancia y recuperación ante desastres.

El alcance de la gestión de claves externas determina si los servidores de gestión de claves protegen todas las SVM del clúster o solo las SVM seleccionadas:

  • Puede usar un cluster scope a fin de configurar la gestión de claves externas para todas las SVM del clúster. El administrador de clúster tiene acceso a todas las claves almacenadas en los servidores.

  • A partir de ONTAP 9.6, puede usar un SVM Scope para configurar la gestión de claves externa para una SVM de datos en el clúster. Esto es mejor para entornos multi-tenant en los que cada inquilino usa una SVM (o un conjunto de SVM) diferente para servir datos. Solo el administrador de SVM para un inquilino determinado tiene acceso a las claves de ese inquilino.

  • Para entornos multi-tenant, instale una licencia para MT_EK_MGMT mediante el siguiente comando:

    system license add -license-code <MT_EK_MGMT license code>

    Obtenga más información sobre system license add en el "Referencia de comandos del ONTAP".

Puede utilizar ambos ámbitos en el mismo clúster. Si se configuraron servidores de gestión de claves para una SVM, ONTAP solo usa esos servidores para proteger las claves. De lo contrario, ONTAP protege las claves con los servidores de gestión de claves configurados para el clúster.

Puede configurar la gestión de claves incorporada en el ámbito del clúster y la gestión de claves externas en el ámbito de la SVM. Puede usar el security key-manager key migrate comando para migrar claves de la gestión de claves incorporada en el ámbito del clúster a gestores de claves externos en el ámbito de SVM.

Obtenga más información sobre security key-manager key migrate en el "Referencia de comandos del ONTAP".

Antes de empezar

  • Deben haberse instalado el cliente KMIP SSL y los certificados de servidor.

  • Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.

  • En un entorno MetroCluster :

    • MetroCluster debe estar completamente configurado antes de habilitar la administración de claves externas.

    • Debe instalar el mismo certificado SSL KMIP en ambos clústeres.

    • Se debe configurar un administrador de claves externo en ambos clústeres.

Pasos

  1. Configure la conectividad del gestor de claves para el clúster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota El security key-manager external enable El comando reemplaza el security key-manager setup dominio. Si ejecuta el comando en el indicador de inicio de sesión del clúster, admin_SVM El valor predeterminado es el SVM de administración del clúster actual. Puedes ejecutar el security key-manager external modify Comando para cambiar la configuración de administración de claves externas.

    El siguiente comando habilita la gestión de claves externas cluster1 con tres servidores de claves externos. El primer servidor de claves se especifica mediante su nombre de host y puerto, el segundo se especifica mediante una dirección IP y el puerto predeterminado, y el tercero se especifica mediante una dirección IPv6 y un puerto:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Configure un administrador de claves una SVM:

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • Si ejecuta el comando en el indicador de inicio de sesión de SVM, SVM Por defecto es el SVM actual. Puedes ejecutar el security key-manager external modify Comando para cambiar la configuración de administración de claves externas.

    • En un entorno MetroCluster, si va a configurar la gestión de claves externa para una SVM de datos, no tendrá que repetir security key-manager external enable el comando en el clúster de socios.

    El siguiente comando habilita la gestión de claves externa para svm1 con un único servidor de claves que escucha en el puerto predeterminado 5696:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. Repita el último paso para todas las SVM adicionales.

    Nota

    También puede utilizar el security key-manager external add-servers comando para configurar SVM adicionales. El security key-manager external add-servers comando reemplaza security key-manager add el comando. Obtenga más información sobre security key-manager external add-servers en el "Referencia de comandos del ONTAP".

  4. Compruebe que todos los servidores KMIP configurados están conectados:

    security key-manager external show-status -node node_name

    Nota

    El security key-manager external show-status comando reemplaza security key-manager show -status el comando. Obtenga más información sobre security key-manager external show-status en el "Referencia de comandos del ONTAP".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. Opcionalmente, convierta volúmenes de texto sin formato en volúmenes cifrados.

    volume encryption conversion start

    Se debe configurar completamente un administrador de claves externo antes de convertir los volúmenes.

Información relacionada