Restaurez l'image ONTAP sur le support de démarrage - ASA A20, ASA A30 et ASA A50
Après avoir installé le nouveau périphérique de démarrage sur votre système de stockage ASA A20, ASA A30 ou ASA A50, vous pouvez lancer le processus de récupération automatique du support de démarrage pour restaurer la configuration à partir du nœud en bon état.
Pendant le processus de récupération, le système vérifie si le chiffrement est activé et détermine le type de chiffrement de clé utilisé. Si le chiffrement de clé est activé, le système vous guide à travers les étapes appropriées pour le restaurer.
-
Pour OKM, vous avez besoin de la phrase secrète à l'échelle du cluster ainsi que des données de sauvegarde.
-
Pour EKM, vous avez besoin de copies des fichiers suivants à partir du nœud partenaire :
-
fichier /cfcard/kmip/servers.cfg.
-
fichier /cfcard/kmip/certs/client.crt.
-
fichier /cfcard/kmip/certs/client.key.
-
Fichier /cfcard/kmip/certs/CA.pem.
-
-
Dans l'invite Loader, entrez la commande :
boot_recovery -partner
L'écran affiche le message suivant :
Starting boot media recovery (BMR) process. Press Ctrl-C to abort…
-
Surveillez le processus de récupération de l'installation du support de démarrage.
Le processus se termine et affiche le
Installation complete
message. -
Le système vérifie le cryptage et le type de cryptage et affiche l'un des deux messages. Selon le message affiché, effectuez l'une des actions suivantes :
Parfois, le processus peut ne pas être en mesure d'identifier si le gestionnaire de clés est configuré sur le système. Il affiche un message d'erreur, demande si le gestionnaire de clés est configuré pour le système, puis demande quel type de gestionnaire de clés est configuré. Le processus reprendra une fois le problème résolu. Affiche un exemple d'invites de recherche d'erreurs de configuration
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboard
Si ce message s'affiche… Procédez comme ça… key manager is not configured. Exiting.
Le chiffrement n'est pas installé sur le système. Procédez comme suit :
-
Connectez-vous au nœud lorsque l'invite de connexion s'affiche et remettez le stockage en place :
storage failover giveback -ofnode impaired_node_name
-
Passez à l'étape 5 pour activer le rétablissement automatique s'il a été désactivé.
key manager is configured.
Passez à l'étape 4 pour restaurer le gestionnaire de clés approprié.
Le nœud accède au menu de démarrage et exécute :
-
Option 10 pour les systèmes avec gestionnaire de clés intégré (OKM).
-
Option 11 pour les systèmes dotés d'un gestionnaire de clés externe (EKM).
-
-
Sélectionnez le processus de restauration du gestionnaire de clés approprié.
Gestionnaire de clés intégré Onboard Key Manager (OKM)Si OKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 10.
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Saisissez
Y
à l'invite pour confirmer que vous souhaitez démarrer le processus de restauration OKM. -
Saisissez les informations suivantes lorsque vous y êtes invité :
-
La phrase secrète
-
La phrase secrète à nouveau lorsque vous êtes invité à confirmer
-
Données de sauvegarde pour le gestionnaire de clés embarqué
Afficher un exemple de phrase secrète et d'invite de données de sauvegarde
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
-
Continuez à surveiller le processus de restauration pendant qu'il restaure les fichiers appropriés à partir du nœud partenaire.
Une fois le processus de restauration terminé, le nœud redémarre. Les messages suivants indiquent une récupération réussie :
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.
-
Remettre le contrôleur défectueux en fonctionnement normal en réutilisant son espace de stockage :
storage failover giveback -ofnode impaired_node_name
-
Une fois le nœud partenaire entièrement prêt à gérer les données, synchronisez les clés OKM sur l'ensemble du cluster.
security key-manager onboard sync
Gestionnaire de clés externe (EKM)Si EKM est détecté, le système affiche le message suivant et commence à exécuter l'option bootmenu 11.
key manager is configured. Entering Bootmenu Option 11...
-
L'étape suivante dépend de la version de ONTAP que votre système exécute :
Si votre système est en cours d'exécution… Procédez comme ça… ONTAP 9.16.0
-
Appuyez sur
Ctlr-C
pour quitter l'option bootmenu 11. -
Appuyez sur
Ctlr-C
pour quitter le processus de configuration EKM et revenir au menu de démarrage. -
Sélectionnez l'option bootmenu 8.
-
Redémarrez le nœud.
Si
AUTOBOOT
est défini, le nœud redémarre et utilise les fichiers de configuration du nœud partenaire.Si
AUTOBOOT
n'est pas défini, entrez la commande de démarrage appropriée. Le nœud redémarre et utilise les fichiers de configuration du nœud partenaire. -
Redémarrez le nœud de manière à ce qu'EKM protège la partition du support d'amorçage.
-
Passez à l'étape c.
ONTAP 9.16.1 et versions ultérieures
Passez à l'étape suivante.
-
-
Entrez le paramètre de configuration EKM suivant lorsque vous y êtes invité :
Action Exemple Entrez le contenu du certificat client à partir du
/cfcard/kmip/certs/client.crt
fichier.Affiche un exemple de contenu de certificat client
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
Entrez le contenu du fichier de clé client à partir du
/cfcard/kmip/certs/client.key
fichier.Affiche un exemple de contenu de fichier de clé client
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
Entrez le contenu du fichier des CA du serveur KMIP
/cfcard/kmip/certs/CA.pem
.Affiche un exemple de contenu de fichier de serveur KMIP
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
Entrez le contenu du fichier de configuration du serveur à partir du
/cfcard/kmip/servers.cfg
fichier.Affiche un exemple de contenu du fichier de configuration du serveur
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
Si vous y êtes invité, entrez l'UUID de cluster ONTAP du partenaire.
Vous pouvez vérifier l'UUID du cluster à partir du nœud partenaire à l'aide de l'
cluster identify show
commande.Affiche l'exemple d'UUID de cluster ONTAP
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).
Si vous y êtes invité, entrez l'interface réseau temporaire et les paramètres du nœud.
Vous devez entrer :
-
L'adresse IP du port
-
Le masque de réseau du port
-
L'adresse IP de la passerelle par défaut
Affiche un exemple de paramètre réseau temporaire
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
Selon que la clé a été restaurée avec succès, effectuez l'une des actions suivantes :
-
Si vous voyez
kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696
dans la sortie, la configuration EKM a été restaurée avec succès.Le processus tente de restaurer les fichiers appropriés à partir du nœud partenaire et redémarre le nœud. Passez à l’étape d.
-
Si la clé n'est pas restaurée avec succès, le système s'arrêtera et indiquera qu'il n'a pas pu restaurer la clé. Les messages d'erreur et d'avertissement s'affichent. Vous devez relancer le processus de récupération :
boot_recovery -partner
Montrer un exemple d'erreur de récupération de clé et de messages d'avertissement
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
Lorsque le nœud redémarre, vérifiez que la restauration du support de démarrage a réussi en vérifiant que le système est de nouveau en ligne et opérationnel.
-
Rétablir le fonctionnement normal du contrôleur en renvoie son espace de stockage :
storage failover giveback -ofnode impaired_node_name
-
-
Si le retour automatique a été désactivé, réactivez-le :
storage failover modify -node local -auto-giveback true
-
Si AutoSupport est activé, restaurez la création automatique de dossiers :
system node autosupport invoke -node * -type all -message MAINT=END
Une fois que vous avez restauré l'image ONTAP et que le nœud est prêt à accéder aux données, vous "Renvoyer la pièce défectueuse à NetApp".