Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Récupération automatique du support de démarrage à partir du nœud partenaire - AFF A400

Contributeurs dougthomp netapp-jsnyder

Après avoir installé le nouveau support de démarrage sur votre système AFF A400 , vous pouvez lancer la récupération automatique du support de démarrage pour restaurer la configuration depuis le nœud partenaire. Pendant la récupération, le système vérifie si le chiffrement est activé et détermine le type de clé de chiffrement utilisé. Si le chiffrement est activé, le système vous guide à travers les étapes appropriées pour le restaurer.

La récupération automatique du support de démarrage est prise en charge uniquement dans ONTAP 9.17.1 et versions ultérieures. Si votre système de stockage exécute une version antérieure d' ONTAP, utilisez l'option "procédure de récupération de démarrage manuel" .

Avant de commencer
  • Pour OKM, vous avez besoin de la phrase secrète à l'échelle du cluster ainsi que des données de sauvegarde.

  • Pour EKM, vous avez besoin de copies des fichiers suivants à partir du nœud partenaire :

    • fichier /cfcard/kmip/servers.cfg.

    • fichier /cfcard/kmip/certs/client.crt.

    • fichier /cfcard/kmip/certs/client.key.

    • Fichier /cfcard/kmip/certs/CA.pem.

Étapes
  1. Dans l'invite Loader, entrez la commande :

    boot_recovery -partner

    L'écran affiche le message suivant :

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Surveillez le processus de récupération de l'installation du support de démarrage.

    Le processus se termine et affiche le Installation complete message.

  3. Le système vérifie le cryptage et le type de cryptage et affiche l'un des deux messages. Selon le message affiché, effectuez l'une des actions suivantes :

    Important Parfois, le processus peut ne pas être en mesure d'identifier si le gestionnaire de clés est configuré sur le système. Il affiche un message d'erreur, demande si le gestionnaire de clés est configuré pour le système, puis demande quel type de gestionnaire de clés est configuré. Le processus reprendra une fois le problème résolu.
    Affiche un exemple d'invites de recherche d'erreurs de configuration
    Error when fetching key manager config from partner ${partner_ip}: ${status}
    
    Has key manager been configured on this system
    
    Is the key manager onboard
    Si ce message s'affiche…​ Procédez comme ça…​

    key manager is not configured. Exiting.

    Le chiffrement n'est pas installé sur le système. Procédez comme suit :

    1. Connectez-vous au nœud lorsque l'invite de connexion s'affiche et remettez le stockage en place :

      storage failover giveback -ofnode impaired_node_name

    2. Passez à l'étape 5 pour activer le rétablissement automatique s'il a été désactivé.

    key manager is configured.

    Passez à l'étape 4 pour restaurer le gestionnaire de clés approprié.

    Le nœud accède au menu de démarrage et exécute :

    • Option 10 pour les systèmes avec gestionnaire de clés intégré (OKM).

    • Option 11 pour les systèmes dotés d'un gestionnaire de clés externe (EKM).

  4. Sélectionnez le processus de restauration du gestionnaire de clés approprié.

    Gestionnaire de clés intégré Onboard Key Manager (OKM)

    Si OKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 10.

    key manager is configured.
    Entering Bootmenu Option 10...
    
    This option must be used only in disaster recovery procedures. Are you sure? (y or n):
    1. Saisissez Y à l'invite pour confirmer que vous souhaitez démarrer le processus de restauration OKM.

    2. Saisissez les informations suivantes lorsque vous y êtes invité :

      1. La phrase secrète

      2. La phrase secrète à nouveau lorsque vous êtes invité à confirmer

      3. Données de sauvegarde pour le gestionnaire de clés embarqué

        Afficher un exemple de phrase secrète et d'invite de données de sauvegarde
        Enter the passphrase for onboard key management:
        -----BEGIN PASSPHRASE-----
        <passphrase_value>
        -----END PASSPHRASE-----
        Enter the passphrase again to confirm:
        -----BEGIN PASSPHRASE-----
        <passphrase_value>
        -----END PASSPHRASE-----
        Enter the backup data:
        -----BEGIN BACKUP-----
        <passphrase_value>
        -----END BACKUP-----
    3. Continuez à surveiller le processus de restauration pendant qu'il restaure les fichiers appropriés à partir du nœud partenaire.

      Une fois le processus de restauration terminé, le nœud redémarre. Les messages suivants indiquent une récupération réussie :

      Trying to recover keymanager secrets....
      Setting recovery material for the onboard key manager
      Recovery secrets set successfully
      Trying to delete any existing km_onboard.keydb file.
      
      Successfully recovered keymanager secrets.
    4. Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.

    5. Remettre le contrôleur défectueux en fonctionnement normal en réutilisant son espace de stockage :

      storage failover giveback -ofnode impaired_node_name

    6. Une fois le nœud partenaire entièrement prêt à gérer les données, synchronisez les clés OKM sur l'ensemble du cluster.

      security key-manager onboard sync

    Gestionnaire de clés externe (EKM)

    Si EKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 11.

    key manager is configured.
    Entering Bootmenu Option 11...
    1. L'étape suivante dépend de la version de ONTAP que votre système exécute :

      Si votre système est en cours d'exécution…​ Procédez comme ça…​

      ONTAP 9.16.0

      1. Appuyez sur Ctlr-C pour quitter l'option bootmenu 11.

      2. Appuyez sur Ctlr-C pour quitter le processus de configuration EKM et revenir au menu de démarrage.

      3. Sélectionnez l'option bootmenu 8.

      4. Redémarrez le nœud.

        Si AUTOBOOT est défini, le nœud redémarre et utilise les fichiers de configuration du nœud partenaire.

        Si AUTOBOOT n'est pas défini, entrez la commande de démarrage appropriée. Le nœud redémarre et utilise les fichiers de configuration du nœud partenaire.

      5. Redémarrez le nœud de manière à ce qu'EKM protège la partition du support d'amorçage.

      6. Passez à l'étape c.

      ONTAP 9.16.1 et versions ultérieures

      Passez à l'étape suivante.

    2. Entrez le paramètre de configuration EKM suivant lorsque vous y êtes invité :

      Action Exemple

      Entrez le contenu du certificat client à partir du /cfcard/kmip/certs/client.crt fichier.

      Affiche un exemple de contenu de certificat client
      -----BEGIN CERTIFICATE-----
      <certificate_value>
      -----END CERTIFICATE-----

      Entrez le contenu du fichier de clé client à partir du /cfcard/kmip/certs/client.key fichier.

      Affiche un exemple de contenu de fichier de clé client
      -----BEGIN RSA PRIVATE KEY-----
      <key_value>
      -----END RSA PRIVATE KEY-----

      Entrez le contenu du fichier des CA du serveur KMIP /cfcard/kmip/certs/CA.pem.

      Affiche un exemple de contenu de fichier de serveur KMIP
      -----BEGIN CERTIFICATE-----
      <KMIP_certificate_CA_value>
      -----END CERTIFICATE-----

      Entrez le contenu du fichier de configuration du serveur à partir du /cfcard/kmip/servers.cfg fichier.

      Affiche un exemple de contenu du fichier de configuration du serveur
      xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
      xxx.xxx.xxx.xxx:5696.port=5696
      xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
      xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
      1xxx.xxx.xxx.xxx:5696.timeout=25
      xxx.xxx.xxx.xxx:5696.nbio=1
      xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
      xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
      xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
      xxx.xxx.xxx.xxx:5696.verify=true
      xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      Si vous y êtes invité, entrez l'UUID de cluster ONTAP du partenaire.

      Vous pouvez vérifier l'UUID du cluster à partir du nœud partenaire à l'aide de l' cluster identify show commande.

      Affiche l'exemple d'UUID de cluster ONTAP
      Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
      Do you know the ONTAP Cluster UUID? {y/n} y
      Enter the ONTAP Cluster UUID: <cluster_uuid_value>
      
      
      System is ready to utilize external key manager(s).

      Si vous y êtes invité, entrez l'interface réseau temporaire et les paramètres du nœud.

      Vous devez entrer :

      1. L'adresse IP du port

      2. Le masque de réseau du port

      3. L'adresse IP de la passerelle par défaut

      Affiche un exemple de paramètre réseau temporaire
      In order to recover key information, a temporary network interface needs to be
      configured.
      
      Select the network port you want to use (for example, 'e0a')
      e0M
      
      Enter the IP address for port : xxx.xxx.xxx.xxx
      Enter the netmask for port : xxx.xxx.xxx.xxx
      Enter IP address of default gateway: xxx.xxx.xxx.xxx
      Trying to recover keys from key servers....
      [discover_versions]
      [status=SUCCESS reason= message=]
    3. Selon que la clé a été restaurée avec succès, effectuez l'une des actions suivantes :

      • Si vous voyez kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 dans la sortie, la configuration EKM a été restaurée avec succès.

        Le processus tente de restaurer les fichiers appropriés à partir du nœud partenaire et redémarre le nœud. Passez à l’étape d.

      • Si la clé n'est pas restaurée avec succès, le système s'arrêtera et indiquera qu'il n'a pas pu restaurer la clé. Les messages d'erreur et d'avertissement s'affichent. Vous devez relancer le processus de récupération :

        boot_recovery -partner

      Montrer un exemple d'erreur de récupération de clé et de messages d'avertissement
      ERROR: kmip_init: halting this system with encrypted mroot...
      WARNING: kmip_init: authentication keys might not be available.
      ********************************************************
      *                 A T T E N T I O N                    *
      *                                                      *
      *       System cannot connect to key managers.         *
      *                                                      *
      ********************************************************
      ERROR: kmip_init: halting this system with encrypted mroot...
      .
      Terminated
      
      Uptime: 11m32s
      System halting...
      
      LOADER-B>
    4. Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.

    5. Rétablir le fonctionnement normal du contrôleur en renvoie son espace de stockage :

      storage failover giveback -ofnode impaired_node_name

  5. Si le retour automatique a été désactivé, réactivez-le :

    storage failover modify -node local -auto-giveback true

  6. Si AutoSupport est activé, restaurez la création automatique de dossiers :

    system node autosupport invoke -node * -type all -message MAINT=END

Et la suite

Une fois que vous avez restauré l'image ONTAP et que le nœud est prêt à accéder aux données, vous "Renvoyer la pièce défectueuse à NetApp".