Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Démarrez l'image de récupération - AFX 1K

Contributeurs netapp-driley netapp-jsnyder
PDF

Après avoir installé le nouveau périphérique de support de démarrage dans votre système de stockage AFX 1K, vous pouvez démarrer le processus de récupération automatique du support de démarrage pour restaurer la configuration à partir du nœud partenaire.

Description de la tâche

Pendant le processus de récupération, le système vérifie si le cryptage est activé et identifie le type de cryptage de clé utilisé. Si le chiffrement est activé, le système vous guide à travers les étapes appropriées pour le restaurer.

Avant de commencer

  • Pour OKM, vous avez besoin de la phrase secrète à l'échelle du cluster et des données de sauvegarde.

  • Pour EKM, vous avez besoin de copies des fichiers suivants à partir du nœud partenaire :

    • fichier /cfcard/kmip/servers.cfg.

    • fichier /cfcard/kmip/certs/client.crt.

    • fichier /cfcard/kmip/certs/client.key.

    • Fichier /cfcard/kmip/certs/CA.pem.

Étapes

  1. Dans l'invite Loader, entrez la commande :

    boot_recovery -partner

    L'écran affiche le message suivant :

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Surveillez le processus de récupération de l'installation du support de démarrage.

    Le processus se termine et affiche le Installation complete message.

  3. Le système vérifie le cryptage et le type de cryptage et affiche l'un des deux messages. Selon le message affiché, effectuez l'une des actions suivantes :

    Important Parfois, le processus peut ne pas être en mesure d'identifier si le gestionnaire de clés est configuré sur le système. Il affiche un message d'erreur, demande si le gestionnaire de clés est configuré pour le système, puis demande quel type de gestionnaire de clés est configuré. Le processus reprendra une fois le problème résolu.
    Affiche un exemple d'invites de recherche d'erreurs de configuration 
    Error when fetching key manager config from partner ${partner_ip}: ${status}

Has key manager been configured on this system

Is the key manager onboard
    Si ce message s'affiche…​ Procédez comme ça…​

    key manager is not configured. Exiting.

    Le cryptage n'est pas configuré sur le système. Suivez les étapes suivantes :

    1. Appuyez sur <enter> lorsque les messages de la console s'arrêtent.

      • Si vous voyez l’invite de connexion, passez à l’étape 4.

      • Si vous ne voyez pas l’invite de connexion, connectez-vous au nœud partenaire et passez à l’étape 4.

    2. Passez à l’étape 6 pour activer la restitution automatique si elle a été désactivée.

    key manager is configured.

    Passez à l’étape 5 pour restaurer le gestionnaire de clés approprié.

    Le nœud accède au menu de démarrage et exécute :

    • Option 10 pour les systèmes avec gestionnaire de clés intégré (OKM).

    • Option 11 pour les systèmes dotés d'un gestionnaire de clés externe (EKM).

  4. Si le cryptage n'est pas installé sur le système et que l'invite de connexion ne s'affiche pas. Suivez les étapes suivantes :

    1. Renvoyer uniquement la racine avec l'option override-destination-checks :

      storage failover giveback -ofnode impaired-node -only-root true -override -destination-checks true

      Remarque Cette commande est disponible uniquement en mode Diagnostic. Pour plus de détails, consultez la section "Niveaux de privilèges pour les commandes CLI ONTAP" .

      Si vous rencontrez des erreurs, contactez "Support NetApp".

    2. Attendre 5 minutes après la fin du rapport de rétablissement et vérifier l'état du basculement et de rétablissement :

      storage failover show`et `storage failover show-giveback

      Remarque La commande suivante n’est disponible que dans le niveau de privilège du mode Diagnostic.

    3. Si vous exécutez ONTAP 9.17.1 et que les liens d'interconnexion HA ont été supprimés, rétablissez-les :

      system ha interconnect link on -node healthy-node -link 0

      system ha interconnect link on -node healthy-node -link 1

    Remarque Si vous utilisez la version 9.18.1 ou supérieure, ignorez l’étape ci-dessus et passez à l’étape suivante.

    1. Remettre le contrôleur défectueux en fonctionnement normal en réutilisant son espace de stockage :

      storage failover giveback -ofnode impaired_node_name

  5. Pour les systèmes avec gestionnaire de clés configuré, sélectionnez le processus de restauration du gestionnaire de clés approprié.

    Gestionnaire de clés intégré Onboard Key Manager (OKM)

    Si OKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 10.

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. Saisissez Y à l'invite pour confirmer que vous souhaitez démarrer le processus de restauration OKM.

    2. Saisissez les informations suivantes lorsque vous y êtes invité :

      1. La phrase secrète

      2. La phrase secrète à nouveau lorsque vous êtes invité à confirmer

      3. Données de sauvegarde pour le gestionnaire de clés embarqué

        Afficher un exemple de phrase secrète et d'invite de données de sauvegarde 
        Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END ACKUP-----

    3. Continuez à surveiller le processus de restauration pendant qu'il restaure les fichiers appropriés à partir du nœud partenaire.

      Une fois le processus de restauration terminé, le nœud redémarre. Les messages suivants indiquent une récupération réussie :

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    4. Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.

    5. Remettre le contrôleur défectueux en fonctionnement normal en réutilisant son espace de stockage :

      storage failover giveback -ofnode impaired_node_name

      1. Si les liens d'interconnexion HA ont été interrompus, rétablissez-les pour reprendre la restitution automatique :

        system ha interconnect link on -node healthy-node -link 0

      system ha interconnect link on -node healthy-node -link 1

    6. Une fois le nœud partenaire entièrement prêt à gérer les données, synchronisez les clés OKM sur l'ensemble du cluster.

      security key-manager onboard sync

    Gestionnaire de clés externe (EKM)

    Si EKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 11.

    key manager is configured.
Entering Bootmenu Option 11...

    1. Selon que la clé a été restaurée avec succès, effectuez l'une des actions suivantes :

      • Si vous voyez kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 dans la sortie, la configuration EKM a été restaurée avec succès.

        Le processus tente de restaurer les fichiers appropriés à partir du nœud partenaire et redémarre le nœud. Passez à l’étape d.

      • Si la clé n'est pas restaurée avec succès, le système s'arrêtera et indiquera qu'il n'a pas pu restaurer la clé. Les messages d'erreur et d'avertissement s'affichent. Vous devez relancer le processus de récupération :

        boot_recovery -partner

      Montrer un exemple d'erreur de récupération de clé et de messages d'avertissement 
      ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    2. Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.

    3. Rétablir le fonctionnement normal du contrôleur en renvoie son espace de stockage :

      storage failover giveback -ofnode impaired_node_name

      1. Si les liens d'interconnexion HA ont été interrompus, rétablissez-les pour reprendre la restitution automatique :

        system ha interconnect link on -node healthy-node -link 0

      system ha interconnect link on -node healthy-node -link 1

  6. Si le retour automatique a été désactivé, réactivez-le :

    storage failover modify -node local auto-giveback-of true

  7. Si AutoSupport est activé, restaurez la création automatique de dossiers :

    system node autosupport invoke -node * -type all -message MAINT=END

Et la suite ?

Une fois que vous avez restauré l'image ONTAP et que le nœud est opérationnel et fournit des données, vous devez"Renvoyer la pièce défectueuse à NetApp" .