Notes de mise à jour
Récupération automatique au démarrage - ASA A1K
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Systèmes AFF
-
Systèmes en fin de disponibilité
-
Plusieurs fichiers PDF
Creating your file...
Après le remplacement physique du support de démarrage défectueux, restaurez l'image ONTAP à partir du nœud partenaire.
-
Déterminez si Onboard Key Manager (OKM) ou Eternal Key Manager (EKM) est configuré à l'aide de l'une des méthodes suivantes :
-
Vous pouvez demander au client ou à l'administrateur système si OKM ou EKM sont activés.
-
Pour vérifier si OKM est activé, vous pouvez utiliser le
security key-manager onboard show. -
Pour vérifier si EKM est activé, vous pouvez utiliser le
security key-manager external show.
-
-
Pour OKM, vous avez besoin du contenu du fichier de phrase de passe OKM.
-
Pour EKM, vous avez besoin de copies des fichiers suivants à partir du nœud partenaire :
-
fichier /cfcard/kmip/servers.cfg.
-
fichier /cfcard/kmip/certs/client.crt.
-
fichier /cfcard/kmip/certs/client.key.
-
Fichier /cfcard/kmip/certs/CA.pem.
-
-
Dans l'invite Loader, entrez la commande :
boot_recovery -partnerL'écran affiche le message suivant :
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
Surveillez le processus de récupération de l'installation du support de démarrage.
Le processus se termine et affiche le
Installation complete.message. -
Le système vérifie le cryptage et le type de cryptage et affiche l'un des deux messages. Selon le message affiché, effectuez l'une des actions suivantes :
Parfois, le processus peut ne pas être en mesure d'identifier si le gestionnaire de clés est configuré sur le système. Il affiche un message d'erreur, demande si le gestionnaire de clés est configuré pour le système, puis demande quel type de gestionnaire de clés est configuré. Le processus reprendra une fois le problème résolu. Affiche un exemple d'invites de recherche d'erreurs de configuration
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboardSi ce message s'affiche… Procédez comme ça… key manager is not configured. Exiting.Le chiffrement n'est pas installé sur le système. Procédez comme suit :
-
Connectez-vous au nœud lorsque l'invite de connexion s'affiche et remettez le stockage en place :
storage failover giveback -ofnode impaired_node_name -
Passez à l'étape 5 pour activer le rétablissement automatique s'il a été désactivé.
key manager is configured.Passez à l'étape 4 pour restaurer le gestionnaire de clés approprié.
Le nœud accède au menu de démarrage et exécute :
-
Option 10 pour les systèmes avec gestionnaire de clés intégré (OKM).
-
Option 11 pour les systèmes dotés d'un gestionnaire de clés externe (EKM).
-
-
Sélectionnez le processus de restauration du gestionnaire de clés approprié.
Gestionnaire de clés intégré Onboard Key Manager (OKM)Gestionnaire de clés externe (EKM)Gestionnaire de clés intégré Onboard Key Manager (OKM)Gestionnaire de clés intégré Onboard Key Manager (OKM)Gestionnaire de clés externe (EKM)Si OKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 10.
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Saisissez
Yà l'invite pour confirmer que vous souhaitez démarrer le processus de restauration OKM. -
Entrez la phrase de passe du gestionnaire de clés intégré lorsque vous y êtes invité, puis saisissez à nouveau la phrase de passe lorsque vous y êtes invité pour confirmer.
Affiche un exemple d'invites de phrase de passe
Enter the passphrase for onboard key management: Enter the passphrase again to confirm: Enter the backup data: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE-----
-
Continuez à surveiller le processus de restauration pendant qu'il restaure les fichiers appropriés à partir du nœud partenaire.
Une fois le processus de restauration terminé, le nœud redémarre. Les messages suivants indiquent une récupération réussie :
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.
-
Remettre le contrôleur défectueux en fonctionnement normal en réutilisant son espace de stockage :
storage failover giveback -ofnode impaired_node_name -
Une fois le nœud partenaire entièrement prêt à gérer les données, synchronisez les clés OKM sur l'ensemble du cluster.
security key-manager onboard sync
Si EKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 11.
key manager is configured. Entering Bootmenu Option 11...
-
L'étape suivante dépend de la version de ONTAP que votre système exécute :
Si votre système est en cours d'exécution… Procédez comme ça… ONTAP 9.16.0
-
Appuyez sur
Ctlr-Cpour quitter l'option bootmenu 11. -
Appuyez sur
Ctlr-Cpour quitter le processus de configuration EKM et revenir au menu de démarrage. -
Sélectionnez l'option bootmenu 8.
-
Redémarrez le nœud.
Si
AUTOBOOTest défini, le nœud redémarre et utilise les fichiers de configuration du nœud partenaire.Si
AUTOBOOTn'est pas défini, entrez la commande de démarrage appropriée. Le nœud redémarre et utilise les fichiers de configuration du nœud partenaire. -
Redémarrez le nœud de manière à ce qu'EKM protège la partition du support d'amorçage.
-
Passez à l'étape c.
ONTAP 9.16.1
Passez à l'étape suivante.
-
-
Entrez le paramètre de configuration EKM suivant lorsque vous y êtes invité :
Action Exemple Entrez le contenu du certificat client à partir du
/cfcard/kmip/certs/client.crtfichier.Affiche un exemple de contenu de certificat client
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
Entrez le contenu du fichier de clé client à partir du
/cfcard/kmip/certs/client.keyfichier.Affiche un exemple de contenu de fichier de clé client
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
Entrez le contenu du fichier des CA du serveur KMIP
/cfcard/kmip/certs/CA.pem.Affiche un exemple de contenu de fichier de serveur KMIP
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
Entrez le contenu du fichier de configuration du serveur à partir du
/cfcard/kmip/servers.cfgfichier.Affiche un exemple de contenu du fichier de configuration du serveur
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
Si vous y êtes invité, entrez l'UUID de cluster ONTAP du partenaire.
Affiche l'exemple d'UUID de cluster ONTAP
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).Si vous y êtes invité, entrez l'interface réseau temporaire et les paramètres du nœud.
Affiche un exemple de paramètre réseau temporaire
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
Selon que la clé a été restaurée avec succès, effectuez l'une des actions suivantes :
-
Si la configuration EKM a été restaurée avec succès, le processus tente de restaurer les fichiers appropriés à partir du nœud partenaire et redémarre le nœud. Passez à l'étape d.
Affiche un exemple de messages de restauration 9.16.0 réussis
kmip2_client: Importing keys from external key server: xxx.xxx.xxx.xxx:5696 [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdUtils: [locateMrootAkUuids]:420: Locating local cluster MROOT-AK with keystore UUID: <uuid> [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:79: Calling KMIP Locate for the following attributes: [<x-NETAPP-ClusterId, <uuid>>, <x-NETAPP-KeyUsage, MROOT-AK>, <x-NETAPP-KeystoreUuid, <uuid>>, <x-NETAPP-Product, Data ONTAP>] [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:84: KMIP Locate executed successfully! [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [setUuidList]:50: UUID returned: <uuid> ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 GEOM_ELI: Device nvd0s4.eli created. GEOM_ELI: Encryption: AES-XTS 256 GEOM_ELI: Crypto: software Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:140 MROOT-AK is requested. Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:162 Returning MROOT-AK.
Affiche un exemple de messages de restauration 9.16.1 réussis
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=] ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:xxxx Successfully recovered keymanager secrets.
-
Si la clé n'est pas restaurée, le système s'arrête et indique qu'elle n'a pas pu restaurer la clé. Les messages d'erreur et d'avertissement s'affichent. Relancez le processus de récupération en entrant
boot_recovery -partner.Montrer un exemple d'erreur de récupération de clé et de messages d'avertissement
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.
-
Rétablir le fonctionnement normal du contrôleur en renvoie son espace de stockage :
storage failover giveback -ofnode impaired_node_name.
-
-
Si le retour automatique a été désactivé, réactivez-le :
storage failover modify -node local -auto-giveback true. -
Si AutoSupport est activé, restaurez la création automatique de dossiers :
system node autosupport invoke -node * -type all -message MAINT=END.
Une fois que vous avez restauré l'image ONTAP et que le nœud est prêt à accéder aux données, vous "Renvoyer la pièce défectueuse à NetApp".
