Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar gestión de claves externas en ONTAP 9.6 y versiones posteriores (NVE)

Colaboradores
PDF

Puede utilizar uno o varios servidores KMIP para proteger las claves que utiliza el clúster para acceder a los datos cifrados. A partir de ONTAP 9.6, tiene la opción de configurar un gestor de claves externo independiente para proteger las claves que utiliza una SVM de datos para acceder a los datos cifrados.

A partir de ONTAP 9.11.1, puede agregar hasta 3 servidores de claves secundarios por servidor de claves primario para crear un servidor de claves en clúster. Para obtener más información, consulte Configurar servidores de claves externas en cluster.

Acerca de esta tarea

Se pueden conectar hasta cuatro servidores KMIP a un clúster o una SVM. Se recomienda un mínimo de dos servidores para la redundancia y la recuperación ante desastres.

El alcance de la gestión de claves externas determina si los servidores de gestión de claves protegen todas las SVM del clúster o solo las SVM seleccionadas:

  • Puede usar un cluster scope a fin de configurar la gestión de claves externas para todas las SVM del clúster. El administrador de clúster tiene acceso a todas las claves almacenadas en los servidores.

  • A partir de ONTAP 9.6, puede usar un SVM Scope para configurar la gestión de claves externa para una SVM de datos en el clúster. Esto es mejor para entornos multi-tenant en los que cada inquilino usa una SVM (o un conjunto de SVM) diferente para servir datos. Solo el administrador de SVM para un inquilino determinado tiene acceso a las claves de ese inquilino.

  • Para entornos multi-tenant, instale una licencia para MT_EK_MGMT mediante el siguiente comando:

    system license add -license-code <MT_EK_MGMT license code>

    Para obtener una sintaxis de comando completa, consulte la página de manual del comando.

Puede utilizar ambos ámbitos en el mismo clúster. Si se configuraron servidores de gestión de claves para una SVM, ONTAP solo usa esos servidores para proteger las claves. De lo contrario, ONTAP protege las claves con los servidores de gestión de claves configurados para el clúster.

Puede configurar la gestión de claves incorporada en el ámbito del clúster y la gestión de claves externas en el ámbito de la SVM. Puede utilizar el security key-manager key migrate Comando para migrar claves de la gestión de claves integrada en el ámbito del clúster a administradores de claves externos en el ámbito de la SVM.

Antes de empezar

  • Deben haberse instalado el cliente KMIP SSL y los certificados de servidor.

  • Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.

  • Si desea habilitar la gestión de claves externas para un entorno de MetroCluster, MetroCluster debe estar completamente configurado para poder habilitar la gestión de claves externas.

  • En un entorno MetroCluster, debe instalar el mismo certificado SSL KMIP en ambos clústeres.

Pasos

  1. Configure la conectividad del gestor de claves para el clúster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • La security key-manager external enable el comando sustituye al security key-manager setup comando. Si ejecuta el comando en la solicitud de inicio de sesión del clúster, admin_SVM Los valores predeterminados en la SVM de administrador del clúster actual. Para poder configurar el ámbito del clúster, debe ser el administrador del clúster. Puede ejecutar el security key-manager external modify comando para cambiar la configuración de gestión de claves externas.

    • En un entorno de MetroCluster, si va a configurar la gestión de claves externa para la SVM de administrador, debe repetir el security key-manager external enable en el clúster de partners.

    El siguiente comando habilita la gestión de claves externas para cluster1 con tres servidores de claves externas. El primer servidor de claves se especifica mediante su nombre de host y puerto, el segundo se especifica mediante una dirección IP y el puerto predeterminado, y el tercero se especifica mediante una dirección IPv6 y un puerto:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Configure un administrador de claves una SVM:

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • Si ejecuta el comando en la solicitud de inicio de sesión de SVM, SVM El valor predeterminado es la SVM actual. Para configurar el ámbito de SVM, debe ser un administrador de clústeres o de SVM. Puede ejecutar el security key-manager external modify comando para cambiar la configuración de gestión de claves externas.

    • En un entorno de MetroCluster, si va a configurar la gestión de claves externas para una SVM de datos, no es necesario repetir el security key-manager external enable en el clúster de partners.

    El siguiente comando habilita la gestión de claves externas para svm1 con un único servidor de claves escuchando en el puerto predeterminado 5696:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. Repita el último paso para todas las SVM adicionales.

    Nota

    También puede utilizar el security key-manager external add-servers Comando para configurar SVM adicionales. La security key-manager external add-servers el comando sustituye al security key-manager add comando. Para obtener una sintaxis de comando completa, consulte la página man.

  4. Compruebe que todos los servidores KMIP configurados están conectados:

    security key-manager external show-status -node node_name

    Nota

    La security key-manager external show-status el comando sustituye al security key-manager show -status comando. Para obtener una sintaxis de comando completa, consulte la página man.

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. Opcionalmente, convierta volúmenes de texto sin formato en volúmenes cifrados.

    volume encryption conversion start

    Debe haber configurado completamente un gestor de claves externo para poder convertir los volúmenes. En un entorno MetroCluster, debe configurarse un gestor de claves externo en ambos sitios.