Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar gestión de claves externas en ONTAP 9.6 y versiones posteriores (NVE)

Colaboradores
PDF

Puede utilizar uno o varios servidores KMIP para proteger las claves que utiliza el clúster para acceder a los datos cifrados. A partir de ONTAP 9.6, tiene la opción de configurar un gestor de claves externo independiente para proteger las claves que utiliza una SVM de datos para acceder a los datos cifrados.

A partir de ONTAP 9.11.1, puede agregar hasta 3 servidores de claves secundarios por servidor de claves primario para crear un servidor de claves en clúster. Para obtener más información, consulte Configurar servidores de claves externas en cluster.

Acerca de esta tarea

Se pueden conectar hasta cuatro servidores KMIP a un clúster o una SVM. Se recomienda un mínimo de dos servidores para la redundancia y la recuperación ante desastres.

El alcance de la gestión de claves externas determina si los servidores de gestión de claves protegen todas las SVM del clúster o solo las SVM seleccionadas:

  • Puede usar un cluster scope a fin de configurar la gestión de claves externas para todas las SVM del clúster. El administrador de clúster tiene acceso a todas las claves almacenadas en los servidores.

  • A partir de ONTAP 9.6, puede usar un SVM Scope para configurar la gestión de claves externa para una SVM de datos en el clúster. Esto es mejor para entornos multi-tenant en los que cada inquilino usa una SVM (o un conjunto de SVM) diferente para servir datos. Solo el administrador de SVM para un inquilino determinado tiene acceso a las claves de ese inquilino.

  • Para entornos multi-tenant, instale una licencia para MT_EK_MGMT mediante el siguiente comando:

    system license add -license-code <MT_EK_MGMT license code>

    Obtenga más información sobre system license add en el "Referencia de comandos del ONTAP".

Puede utilizar ambos ámbitos en el mismo clúster. Si se configuraron servidores de gestión de claves para una SVM, ONTAP solo usa esos servidores para proteger las claves. De lo contrario, ONTAP protege las claves con los servidores de gestión de claves configurados para el clúster.

Puede configurar la gestión de claves incorporada en el ámbito del clúster y la gestión de claves externas en el ámbito de la SVM. Puede usar el security key-manager key migrate comando para migrar claves de la gestión de claves incorporada en el ámbito del clúster a gestores de claves externos en el ámbito de SVM.

Obtenga más información sobre security key-manager key migrate en el "Referencia de comandos del ONTAP".

Antes de empezar

  • Deben haberse instalado el cliente KMIP SSL y los certificados de servidor.

  • Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.

  • Si desea habilitar la gestión de claves externas para un entorno de MetroCluster, MetroCluster debe estar completamente configurado para poder habilitar la gestión de claves externas.

  • En un entorno MetroCluster, debe instalar el mismo certificado SSL KMIP en ambos clústeres.

Pasos

  1. Configure la conectividad del gestor de claves para el clúster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • El security key-manager external enable comando reemplaza security key-manager setup el comando. Si ejecuta el comando en la solicitud de inicio de sesión del clúster, admin_SVM se establece de forma predeterminada en la SVM de administrador del clúster actual. Para poder configurar el ámbito del clúster, debe ser el administrador del clúster. Es posible ejecutar security key-manager external modify el comando para cambiar la configuración de gestión de claves externas.

    • En un entorno MetroCluster, si se configura la gestión de claves externa para la SVM de administrador, debe repetir security key-manager external enable el comando en el clúster de socios.

    El siguiente comando habilita la gestión de claves externas cluster1 con tres servidores de claves externos. El primer servidor de claves se especifica mediante su nombre de host y puerto, el segundo se especifica mediante una dirección IP y el puerto predeterminado, y el tercero se especifica mediante una dirección IPv6 y un puerto:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Configure un administrador de claves una SVM:

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • Si ejecuta el comando en la solicitud de inicio de sesión de SVM, SVM pasará a la SVM actual de forma predeterminada. Para configurar el ámbito de SVM, debe ser un administrador de clústeres o de SVM. Es posible ejecutar security key-manager external modify el comando para cambiar la configuración de gestión de claves externas.

    • En un entorno MetroCluster, si va a configurar la gestión de claves externa para una SVM de datos, no tendrá que repetir security key-manager external enable el comando en el clúster de socios.

    El siguiente comando habilita la gestión de claves externa para svm1 con un único servidor de claves que escucha en el puerto predeterminado 5696:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. Repita el último paso para todas las SVM adicionales.

    Nota

    También puede utilizar el security key-manager external add-servers comando para configurar SVM adicionales. El security key-manager external add-servers comando reemplaza security key-manager add el comando. Obtenga más información sobre security key-manager external add-servers en el "Referencia de comandos del ONTAP".

  4. Compruebe que todos los servidores KMIP configurados están conectados:

    security key-manager external show-status -node node_name

    Nota

    El security key-manager external show-status comando reemplaza security key-manager show -status el comando. Obtenga más información sobre security key-manager external show-status en el "Referencia de comandos del ONTAP".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. Opcionalmente, convierta volúmenes de texto sin formato en volúmenes cifrados.

    volume encryption conversion start

    Debe haber configurado completamente un gestor de claves externo para poder convertir los volúmenes. En un entorno MetroCluster, debe configurarse un gestor de claves externo en ambos sitios.

Información relacionada