Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Vérifiez les clés de chiffrement intégrées : AFF A250

Contributeurs

Avant d'arrêter le contrôleur défaillant et de vérifier l'état des clés de chiffrement intégrées, vous devez vérifier l'état du contrôleur défaillant, désactiver le rétablissement automatique et vérifier quelle version de ONTAP s'exécute sur le système.

Si vous avez un cluster avec plus de deux nœuds, il doit être dans le quorum. Si le cluster n'est pas au quorum ou si un contrôleur en bonne santé affiche la valeur false pour l'éligibilité et la santé, vous devez corriger le problème avant de désactiver le contrôleur défaillant ; voir "Synchroniser un nœud avec le cluster".

Étapes
  1. Vérifier l'état du contrôleur détérioré :

    • Si le contrôleur douteux se trouve à l'invite de connexion, connectez-vous en tant que admin.

    • Si le contrôleur associé est au niveau de l'invite DU CHARGEUR et qu'il fait partie de la configuration HA, connectez-vous en tant que admin sur le contrôleur sain.

    • Si le contrôleur douteux se trouve dans une configuration autonome et à l'invite DU CHARGEUR, contactez "mysupport.netapp.com".

  2. Si AutoSupport est activé, supprimez la création automatique de dossier en invoquant un message AutoSupport : system node autosupport invoke -node * -type all -message MAINT=number_of_hours_downh

    Le message AutoSupport suivant supprime la création automatique de dossiers pendant deux heures : cluster1:*> system node autosupport invoke -node * -type all -message MAINT=2h

  3. Vérifiez la version de ONTAP que le système fonctionne sur le contrôleur défaillant, si c'est le cas, ou sur le contrôleur partenaire si le contrôleur défaillant est en panne, à l'aide du version -v commande :

    • Si <lno-DARE> ou <1Ono-DARE> s'affiche dans la sortie de la commande, le système ne prend pas en charge NVE, procédez à l'arrêt du contrôleur.

    • Si <lno-DARE> ne s'affiche pas dans la sortie de la commande et si le système exécute ONTAP 9.6 ou une version ultérieure, passer à la section suivante.

  4. Si le contrôleur douteux est intégré à une configuration HA, désactivez le rétablissement automatique de l'état du contrôleur: storage failover modify -node local -auto-giveback false ou storage failover modify -node local -auto-giveback-after-panic false

Vérifiez NVE ou NSE sur les systèmes qui exécutent ONTAP 9.6 et versions ultérieures

Avant d'arrêter le contrôleur défaillant, vérifiez si NetApp Volume Encryption (NVE) ou NetApp Storage Encryption (NSE) sont activés sur le système. Si c'est le cas, vous devez vérifier la configuration.

  1. Vérifiez que NVE est utilisé pour n'importe quel volume du cluster : volume show -is-encrypted true

    Si des volumes sont répertoriés dans le résultat, NVE est configuré et vous devez vérifier la configuration NVE. Si aucun volume n'est indiqué, vérifiez si NSE est configuré et utilisé.

  2. Vérifiez si NSE est configuré et utilisé : storage encryption disk show

    • Si le résultat de la commande répertorie les détails du disque avec les informations relatives au mode et à l'ID de clé, NSE est configuré et vous devez vérifier la configuration NSE et son utilisation.

    • Si aucun disque n'est affiché, NSE n'est pas configuré.

    • Si NVE et NSE ne sont pas configurés, aucun disque n'est protégé avec les clés NSE, vous pouvez arrêter le contrôleur pour facultés affaiblies.

Vérifiez la configuration NVE

  1. Afficher les ID de clé des clés d'authentification stockées sur les serveurs de gestion des clés : security key-manager key query

    Remarque Après la version ONTAP 9.6, il est possible que vous ayez d'autres types de gestionnaire de clés. Les types sont KMIP, AKV, et GCP. Le processus de confirmation de ces types est identique à celui de la confirmation external ou onboard types de gestionnaire de clés.
    • Si le Key Manager affichage du type external et le Restored s'affiche yes, il est sûr d'arrêter le contrôleur défaillant.

    • Si le Key Manager affichage du type onboard et le Restored s'affiche yes, vous devez effectuer quelques étapes supplémentaires.

    • Si le Key Manager affichage du type external et le Restored colonne affiche tout autre élément que yes, vous devez effectuer quelques étapes supplémentaires.

    • Si le Key Manager affichage du type onboard et le Restored colonne affiche tout autre élément que yes, vous devez effectuer quelques étapes supplémentaires.

  2. Si le Key Manager affichage du type onboard et le Restored s'affiche yes, Sauvegardez manuellement les informations OKM :

    1. Accédez au mode de privilège avancé et entrez y lorsque vous êtes invité à continuer : set -priv advanced

    2. Entrez la commande pour afficher les informations de gestion des clés : security key-manager onboard show-backup

    3. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    4. Revenir en mode admin: set -priv admin

    5. Arrêtez le contrôleur défaillant.

  3. Si le Key Manager affichage du type external et le Restored colonne affiche tout autre élément que yes:

    1. Restaurer les clés d'authentification externe de gestion des clés sur tous les nœuds du cluster : security key-manager external restore

      Si la commande échoue, contactez le support NetApp.

    1. Vérifiez que le Restored colonne égale à yes pour toutes les clés d'authentification : security key-manager key query

    2. Arrêtez le contrôleur défaillant.

  4. Si le Key Manager affichage du type onboard et le Restored colonne affiche tout autre élément que yes:

    1. Entrez la commande de synchronisation du gestionnaire de clés de sécurité intégré : security key-manager onboard sync

      Remarque Saisissez la phrase de passe alphanumérique de gestion des clés intégrée de 32 caractères du client à l'invite. Si cette phrase secrète ne peut pas être fournie, contactez le support NetApp. "mysupport.netapp.com"
    2. Vérifiez le Restored affiche la colonne yes pour toutes les clés d'authentification : security key-manager key query

    3. Vérifiez que le Key Manager s'affiche onboard, Puis sauvegardez manuellement les informations OKM.

    4. Accédez au mode de privilège avancé et entrez y lorsque vous êtes invité à continuer : set -priv advanced

    5. Entrez la commande pour afficher les informations de sauvegarde de la gestion des clés : security key-manager onboard show-backup

    6. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    7. Revenir en mode admin: set -priv admin

    8. Vous pouvez arrêter le contrôleur en toute sécurité.

Vérifiez la configuration NSE

  1. Afficher les ID de clé des clés d'authentification stockées sur les serveurs de gestion des clés : security key-manager key query -key-type NSE-AK

    Remarque Après la version ONTAP 9.6, il est possible que vous ayez d'autres types de gestionnaire de clés. Les types sont KMIP, AKV, et GCP. Le processus de confirmation de ces types est identique à celui de la confirmation external ou onboard types de gestionnaire de clés.
    • Si le Key Manager affichage du type external et le Restored s'affiche yes, il est sûr d'arrêter le contrôleur défaillant.

    • Si le Key Manager affichage du type onboard et le Restored s'affiche yes, vous devez effectuer quelques étapes supplémentaires.

    • Si le Key Manager affichage du type external et le Restored colonne affiche tout autre élément que yes, vous devez effectuer quelques étapes supplémentaires.

    • Si le Key Manager affichage du type external et le Restored colonne affiche tout autre élément que yes, vous devez effectuer quelques étapes supplémentaires.

  2. Si le Key Manager affichage du type onboard et le Restored s'affiche yes, Sauvegardez manuellement les informations OKM :

    1. Accédez au mode de privilège avancé et entrez y lorsque vous êtes invité à continuer : set -priv advanced

    2. Entrez la commande pour afficher les informations de gestion des clés : security key-manager onboard show-backup

    3. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    4. Revenir en mode admin: set -priv admin

    5. Vous pouvez arrêter le contrôleur en toute sécurité.

  3. Si le Key Manager affichage du type external et le Restored colonne affiche tout autre élément que yes:

    1. Restaurer les clés d'authentification externe de gestion des clés sur tous les nœuds du cluster : security key-manager external restore

      Si la commande échoue, contactez le support NetApp.

    1. Vérifiez que le Restored colonne égale à yes pour toutes les clés d'authentification : security key-manager key query

    2. Vous pouvez arrêter le contrôleur en toute sécurité.

  4. Si le Key Manager affichage du type onboard et le Restored colonne affiche tout autre élément que yes:

    1. Entrez la commande de synchronisation du gestionnaire de clés de sécurité intégré : security key-manager onboard sync

      Saisissez la phrase de passe alphanumérique de gestion des clés intégrée de 32 caractères du client à l'invite. Si cette phrase secrète ne peut pas être fournie, contactez le support NetApp.

    1. Vérifiez le Restored affiche la colonne yes pour toutes les clés d'authentification : security key-manager key query

    2. Vérifiez que le Key Manager s'affiche onboard, Puis sauvegardez manuellement les informations OKM.

    3. Accédez au mode de privilège avancé et entrez y lorsque vous êtes invité à continuer : set -priv advanced

    4. Entrez la commande pour afficher les informations de sauvegarde de la gestion des clés : security key-manager onboard show-backup

    5. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    6. Revenir en mode admin: set -priv admin

    7. Vous pouvez arrêter le contrôleur en toute sécurité.