Vérifiez les clés de cryptage intégrées - ASA C250
Avant d'arrêter le contrôleur défaillant et de vérifier l'état des clés de chiffrement intégrées, vous devez vérifier l'état du contrôleur défaillant, désactiver le rétablissement automatique et vérifier quelle version de ONTAP s'exécute sur le système.
Si vous avez un cluster avec plus de deux nœuds, il doit être dans le quorum. Si le cluster n'est pas au quorum ou si un contrôleur en bonne santé affiche la valeur false pour l'éligibilité et la santé, vous devez corriger le problème avant de désactiver le contrôleur défaillant ; voir "Synchroniser un nœud avec le cluster".
-
Vérifier l'état du contrôleur détérioré :
-
Si le contrôleur douteux se trouve à l'invite de connexion, connectez-vous en tant que
admin
. -
Si le contrôleur associé est au niveau de l'invite DU CHARGEUR et qu'il fait partie de la configuration HA, connectez-vous en tant que
admin
sur le contrôleur sain. -
Si le contrôleur douteux se trouve dans une configuration autonome et à l'invite DU CHARGEUR, contactez "mysupport.netapp.com".
-
-
Si AutoSupport est activé, supprimez la création automatique de dossier en invoquant un message AutoSupport :
system node autosupport invoke -node * -type all -message MAINT=number_of_hours_downh
Le message AutoSupport suivant supprime la création automatique de dossiers pendant deux heures :
cluster1:*> system node autosupport invoke -node * -type all -message MAINT=2h
-
Vérifiez la version de ONTAP que le système fonctionne sur le contrôleur défaillant, si c'est le cas, ou sur le contrôleur partenaire si le contrôleur défaillant est en panne, à l'aide du
version -v
commande :-
Si <lno-DARE> ou <1Ono-DARE> s'affiche dans la sortie de la commande, le système ne prend pas en charge NVE, procédez à l'arrêt du contrôleur.
-
Si <lno-DARE> ne s'affiche pas dans la sortie de la commande et si le système exécute ONTAP 9.6 ou une version ultérieure, passer à la section suivante.
-
-
Si le contrôleur douteux est intégré à une configuration HA, désactivez le rétablissement automatique de l'état du contrôleur:
storage failover modify -node local -auto-giveback false
oustorage failover modify -node local -auto-giveback-after-panic false
Vérifiez NVE ou NSE sur les systèmes qui exécutent ONTAP 9.6 et versions ultérieures
Avant d'arrêter le contrôleur défaillant, vérifiez si NetApp Volume Encryption (NVE) ou NetApp Storage Encryption (NSE) sont activés sur le système. Si c'est le cas, vous devez vérifier la configuration.
-
Vérifiez que NVE est utilisé pour n'importe quel volume du cluster :
volume show -is-encrypted true
Si des volumes sont répertoriés dans le résultat, NVE est configuré et vous devez vérifier la configuration NVE. Si aucun volume n'est indiqué, vérifiez si NSE est configuré et utilisé.
-
Vérifiez si NSE est configuré et utilisé :
storage encryption disk show
-
Si le résultat de la commande répertorie les détails du disque avec les informations relatives au mode et à l'ID de clé, NSE est configuré et vous devez vérifier la configuration NSE et son utilisation.
-
Si aucun disque n'est affiché, NSE n'est pas configuré.
-
Si NVE et NSE ne sont pas configurés, aucun disque n'est protégé avec les clés NSE, vous pouvez arrêter le contrôleur pour facultés affaiblies.
-
Vérifiez la configuration NVE
-
Afficher les ID de clé des clés d'authentification stockées sur les serveurs de gestion des clés :
security key-manager key query
Après la version ONTAP 9.6, il est possible que vous ayez d'autres types de gestionnaire de clés. Les types sont KMIP
,AKV
, etGCP
. Le processus de confirmation de ces types est identique à celui de la confirmationexternal
ouonboard
types de gestionnaire de clés.-
Si le
Key Manager
affichage du typeexternal
et leRestored
s'afficheyes
, il est sûr d'arrêter le contrôleur défaillant. -
Si le
Key Manager
affichage du typeonboard
et leRestored
s'afficheyes
, vous devez effectuer quelques étapes supplémentaires. -
Si le
Key Manager
affichage du typeexternal
et leRestored
colonne affiche tout autre élément queyes
, vous devez effectuer quelques étapes supplémentaires. -
Si le
Key Manager
affichage du typeonboard
et leRestored
colonne affiche tout autre élément queyes
, vous devez effectuer quelques étapes supplémentaires.
-
-
Si le
Key Manager
affichage du typeonboard
et leRestored
s'afficheyes
, Sauvegardez manuellement les informations OKM :-
Accédez au mode de privilège avancé et entrez
y
lorsque vous êtes invité à continuer :set -priv advanced
-
Entrez la commande pour afficher les informations de gestion des clés :
security key-manager onboard show-backup
-
Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.
-
Revenir en mode admin:
set -priv admin
-
Arrêtez le contrôleur défaillant.
-
-
Si le
Key Manager
affichage du typeexternal
et leRestored
colonne affiche tout autre élément queyes
:-
Restaurer les clés d'authentification externe de gestion des clés sur tous les nœuds du cluster :
security key-manager external restore
Si la commande échoue, contactez le support NetApp.
-
Vérifiez que le
Restored
colonne égale àyes
pour toutes les clés d'authentification :security key-manager key query
-
Arrêtez le contrôleur défaillant.
-
-
Si le
Key Manager
affichage du typeonboard
et leRestored
colonne affiche tout autre élément queyes
:-
Entrez la commande de synchronisation du gestionnaire de clés de sécurité intégré :
security key-manager onboard sync
Saisissez la phrase de passe alphanumérique de gestion des clés intégrée de 32 caractères du client à l'invite. Si cette phrase secrète ne peut pas être fournie, contactez le support NetApp. "mysupport.netapp.com" -
Vérifiez le
Restored
affiche la colonneyes
pour toutes les clés d'authentification :security key-manager key query
-
Vérifiez que le
Key Manager
s'afficheonboard
, Puis sauvegardez manuellement les informations OKM. -
Accédez au mode de privilège avancé et entrez
y
lorsque vous êtes invité à continuer :set -priv advanced
-
Entrez la commande pour afficher les informations de sauvegarde de la gestion des clés :
security key-manager onboard show-backup
-
Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.
-
Revenir en mode admin:
set -priv admin
-
Vous pouvez arrêter le contrôleur en toute sécurité.
-
Vérifiez la configuration NSE
-
Afficher les ID de clé des clés d'authentification stockées sur les serveurs de gestion des clés :
security key-manager key query -key-type NSE-AK
Après la version ONTAP 9.6, il est possible que vous ayez d'autres types de gestionnaire de clés. Les types sont KMIP
,AKV
, etGCP
. Le processus de confirmation de ces types est identique à celui de la confirmationexternal
ouonboard
types de gestionnaire de clés.-
Si le
Key Manager
affichage du typeexternal
et leRestored
s'afficheyes
, il est sûr d'arrêter le contrôleur défaillant. -
Si le
Key Manager
affichage du typeonboard
et leRestored
s'afficheyes
, vous devez effectuer quelques étapes supplémentaires. -
Si le
Key Manager
affichage du typeexternal
et leRestored
colonne affiche tout autre élément queyes
, vous devez effectuer quelques étapes supplémentaires. -
Si le
Key Manager
affichage du typeexternal
et leRestored
colonne affiche tout autre élément queyes
, vous devez effectuer quelques étapes supplémentaires.
-
-
Si le
Key Manager
affichage du typeonboard
et leRestored
s'afficheyes
, Sauvegardez manuellement les informations OKM :-
Accédez au mode de privilège avancé et entrez
y
lorsque vous êtes invité à continuer :set -priv advanced
-
Entrez la commande pour afficher les informations de gestion des clés :
security key-manager onboard show-backup
-
Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.
-
Revenir en mode admin:
set -priv admin
-
Vous pouvez arrêter le contrôleur en toute sécurité.
-
-
Si le
Key Manager
affichage du typeexternal
et leRestored
colonne affiche tout autre élément queyes
:-
Restaurer les clés d'authentification externe de gestion des clés sur tous les nœuds du cluster :
security key-manager external restore
Si la commande échoue, contactez le support NetApp.
-
Vérifiez que le
Restored
colonne égale àyes
pour toutes les clés d'authentification :security key-manager key query
-
Vous pouvez arrêter le contrôleur en toute sécurité.
-
-
Si le
Key Manager
affichage du typeonboard
et leRestored
colonne affiche tout autre élément queyes
:-
Entrez la commande de synchronisation du gestionnaire de clés de sécurité intégré :
security key-manager onboard sync
Saisissez la phrase de passe alphanumérique de gestion des clés intégrée de 32 caractères du client à l'invite. Si cette phrase secrète ne peut pas être fournie, contactez le support NetApp.
-
Vérifiez le
Restored
affiche la colonneyes
pour toutes les clés d'authentification :security key-manager key query
-
Vérifiez que le
Key Manager
s'afficheonboard
, Puis sauvegardez manuellement les informations OKM. -
Accédez au mode de privilège avancé et entrez
y
lorsque vous êtes invité à continuer :set -priv advanced
-
Entrez la commande pour afficher les informations de sauvegarde de la gestion des clés :
security key-manager onboard show-backup
-
Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal. Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.
-
Revenir en mode admin:
set -priv admin
-
Vous pouvez arrêter le contrôleur en toute sécurité.
-