Configurez le chiffrement de bout en bout
À partir de ONTAP 9.15.1, vous pouvez configurer le chiffrement de bout en bout afin de chiffrer le trafic back-end, tel que NVlog et les données de réplication du stockage, entre les sites d'une configuration IP MetroCluster.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Avant de pouvoir configurer le chiffrement de bout en bout, vous devez "Configurez la gestion externe des clés".
-
Vérifiez les systèmes pris en charge et la version minimale de ONTAP requise pour configurer le chiffrement de bout en bout dans une configuration MetroCluster IP :
Version minimale de ONTAP
Systèmes pris en charge
ONTAP 9.15.1
-
AFF A400
-
FAS8300
-
FAS8700
-
Chiffrez vos données de bout en bout
Procédez comme suit pour activer le chiffrement de bout en bout.
-
Vérifier l'état de santé de la configuration MetroCluster.
-
Vérifiez que les composants MetroCluster sont sains :
metrocluster check run
cluster_A::*> metrocluster check run
L'opération s'exécute en arrière-plan.
-
Après le
metrocluster check run
l'opération se termine, exécutez :metrocluster check show
Après environ cinq minutes, les résultats suivants s'affichent :
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
Vérifier l'état de l'opération de vérification MetroCluster en cours :
metrocluster operation history show -job-id <id>
-
Vérifiez qu'il n'y a pas d'alerte de santé :
system health alert show
-
-
Vérifier que la gestion externe des clés est configurée sur les deux clusters :
security key-manager external show-status
-
Chiffrement de bout en bout pour chaque groupe de reprise d'activité :
metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>
Exemple
cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1 Warning: Enabling encryption for a DR Group will secure NVLog and Storage replication data sent between MetroCluster nodes and have an impact on performance. Do you want to continue? {y|n}: y [Job 244] Job succeeded: Modify is successful.
Répétez cette étape pour chaque groupe DR de la configuration.
-
Vérifiez que le chiffrement de bout en bout est activé :
metrocluster node show -fields is-encryption-enabled
Exemple
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured true 1 cluster_A node_A_2 configured true 1 cluster_B node_B_1 configured true 1 cluster_B node_B_2 configured true 4 entries were displayed.
Désactivez le chiffrement de bout en bout
Procédez comme suit pour désactiver le chiffrement de bout en bout.
-
Vérifier l'état de santé de la configuration MetroCluster.
-
Vérifiez que les composants MetroCluster sont sains :
metrocluster check run
cluster_A::*> metrocluster check run
L'opération s'exécute en arrière-plan.
-
Après le
metrocluster check run
l'opération se termine, exécutez :metrocluster check show
Après environ cinq minutes, les résultats suivants s'affichent :
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
Vérifier l'état de l'opération de vérification MetroCluster en cours :
metrocluster operation history show -job-id <id>
-
Vérifiez qu'il n'y a pas d'alerte de santé :
system health alert show
-
-
Vérifier que la gestion externe des clés est configurée sur les deux clusters :
security key-manager external show-status
-
Désactivez le chiffrement de bout en bout sur chaque groupe de reprise après incident :
metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>
Exemple
cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1 [Job 244] Job succeeded: Modify is successful.
Répétez cette étape pour chaque groupe DR de la configuration.
-
Vérifiez que le chiffrement de bout en bout est désactivé :
metrocluster node show -fields is-encryption-enabled
Exemple
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured false 1 cluster_A node_A_2 configured false 1 cluster_B node_B_1 configured false 1 cluster_B node_B_2 configured false 4 entries were displayed.