Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Vérifier la prise en charge et l'état des clés de cryptage - FAS2820

Contributeurs
PDF

Avant d'arrêter le contrôleur défaillant, vérifiez si votre version de ONTAP prend en charge NetApp Volume Encryption (NVE) et si votre système de gestion des clés est correctement configuré.

Étape 1 : vérifiez si votre version de ONTAP prend en charge le chiffrement de volume NetApp

Vérifiez si votre version de ONTAP prend en charge NetApp Volume Encryption (NVE). Ces informations sont essentielles pour télécharger l'image ONTAP correcte.

  1. Déterminez si votre version de ONTAP prend en charge le chiffrement en exécutant la commande suivante :

    version -v

    Si le résultat de cette commande indique 1Ono-DARE, NVE n'est pas pris en charge par la version de votre cluster.

  2. Selon que NVE est pris en charge par votre système, effectuez l'une des actions suivantes :

    • Si NVE est pris en charge, téléchargez l'image ONTAP avec le chiffrement de volume NetApp.

    • Si NVE n'est pas pris en charge, téléchargez l'image ONTAP sans chiffrement de volume NetApp.

Étape 2 : déterminez s'il est possible d'arrêter le contrôleur en toute sécurité

Pour arrêter un contrôleur en toute sécurité, identifiez d'abord si le gestionnaire de clés externe (EKM) ou le gestionnaire de clés intégré (OKM) est actif. Ensuite, vérifiez le gestionnaire de clés en cours d'utilisation, affichez les informations de clé appropriées et prenez des mesures en fonction de l'état des clés d'authentification.

  1. Déterminez le gestionnaire de clés activé sur votre système :

    Version ONTAP Exécutez cette commande

    ONTAP 9.14.1 ou version ultérieure

    security key-manager keystore show

    • Si EKM est activé, EKM est répertorié dans la sortie de la commande.

    • Si OKM est activé, OKM est répertorié dans la sortie de la commande.

    • Si aucun gestionnaire de clés n'est activé, No key manager keystores configured est répertorié dans la sortie de la commande.

    ONTAP 9.13.1 ou version antérieure

    security key-manager show-key-store

    • Si EKM est activé, external est répertorié dans la sortie de la commande.

    • Si OKM est activé, onboard est répertorié dans la sortie de la commande.

    • Si aucun gestionnaire de clés n'est activé, No key managers configured est répertorié dans la sortie de la commande.

  2. Selon qu'un gestionnaire de clés est configuré sur votre système, sélectionnez l'une des options suivantes.

    Aucun gestionnaire de clés configuré

    Vous pouvez arrêter le contrôleur défectueux en toute sécurité. Allez à "arrêtez le contrôleur défectueux".

    Gestionnaire de clés externe ou intégré configuré

    1. Entrez la commande query suivante pour afficher l'état des clés d'authentification dans votre gestionnaire de clés.

      security key-manager key query

    2. Vérifiez le résultat de la valeur dans la Restored colonne de votre gestionnaire de clés.

      Cette colonne indique si les clés d'authentification de votre gestionnaire de clés (EKM ou OKM) ont été restaurées avec succès.

  3. Selon que votre système utilise le Gestionnaire de clés externe ou intégré, sélectionnez l'une des options suivantes.

    Gestionnaire de clés externe

    En fonction de la valeur de sortie affichée dans la Restored colonne, suivez les étapes appropriées.

    Valeur de sortie dans la Restored colonne Suivez ces étapes…​

    true

    Vous pouvez arrêter le contrôleur défectueux en toute sécurité. Allez à "arrêtez le contrôleur défectueux".

    Autre que true

    1. Restaurez les clés d'authentification de la gestion externe des clés sur tous les nœuds du cluster à l'aide de la commande suivante :

      security key-manager external restore

      Si la commande échoue, contactez "Support NetApp".

    2. Vérifiez que la Restored colonne affiche true pour toutes les clés d'authentification en saisissant la security key-manager key query commande.

      Si toutes les clés d'authentification sont true, vous pouvez arrêter le contrôleur défectueux en toute sécurité. Allez à "arrêtez le contrôleur défectueux".
    Gestionnaire de clés intégré

    En fonction de la valeur de sortie affichée dans la Restored colonne, suivez les étapes appropriées.

    Valeur de sortie dans la Restored colonne Suivez ces étapes…​

    true

    Sauvegardez manuellement les informations sur OKM.

    1. Accédez au mode avancé en entrant, puis Y en entrant set -priv advanced lorsque vous y êtes invité.

    2. Entrez la commande suivante pour afficher les informations de gestion des clés :

      security key-manager onboard show-backup

    3. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal.

      Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    4. Vous pouvez arrêter le contrôleur défectueux en toute sécurité. Allez à "arrêtez le contrôleur défectueux".

    Autre que true

    1. Entrez la commande de synchronisation du gestionnaire de clés de sécurité intégré :

      security key-manager onboard sync

    2. Entrez la phrase de passe alphanumérique de gestion des clés intégrée de 32 caractères lorsque vous y êtes invité.

      Si la phrase de passe ne peut pas être fournie, contactez "Support NetApp".

    3. Vérifiez que la Restored colonne s'affiche true pour toutes les clés d'authentification :

      security key-manager key query

    4. Vérifiez que le Key Manager type s'affiche onboard, puis sauvegardez manuellement les informations sur OKM.

    5. Entrez la commande pour afficher les informations de sauvegarde de la gestion des clés :

      security key-manager onboard show-backup

    6. Copiez le contenu des informations de sauvegarde dans un fichier distinct ou dans votre fichier journal.

      Dans les scénarios d'incident, vous devrez peut-être restaurer manuellement le gestionnaire de clés intégré OKM.

    7. Vous pouvez arrêter le contrôleur défectueux en toute sécurité. Allez à "arrêtez le contrôleur défectueux".