Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez les serveurs de clés externes en cluster

Contributeurs
PDF

À partir de ONTAP 9.11.1, il est possible de configurer la connectivité aux serveurs de gestion externe des clés en cluster sur un SVM. Avec des serveurs de clés en cluster, vous pouvez désigner des serveurs de clés principaux et secondaires sur une SVM. Lors de l'enregistrement des clés, ONTAP essaie d'abord d'accéder à un serveur de clés principal avant de tenter d'accéder aux serveurs secondaires de manière séquentielle jusqu'à ce que l'opération s'effectue correctement, ce qui évite la duplication des clés.

Les serveurs de clés externes peuvent être utilisés pour les clés NSE, NVE, NAE et SED. Un SVM peut prendre en charge jusqu'à quatre principaux serveurs KMIP externes. Chaque serveur principal peut prendre en charge jusqu'à trois serveurs de clés secondaires.

Avant de commencer

  • "La gestion des clés KMIP doit être activée pour le SVM".

  • Ce processus prend uniquement en charge les serveurs de clés qui utilisent KMIP. Pour obtenir la liste des serveurs de clés pris en charge, reportez-vous à la "Matrice d'interopérabilité NetApp".

  • Tous les nœuds du cluster doivent exécuter ONTAP 9.11.1 ou une version ultérieure.

  • L'ordre des serveurs répertorie les arguments dans -secondary-key-servers Paramètre correspond à l'ordre d'accès des serveurs de gestion externe des clés (KMIP).

Créer un serveur de clés mis en cluster

La procédure de configuration varie selon que vous avez configuré ou non un serveur de clés principal.

Ajout de serveurs de clés primaires et secondaires à un SVM

  1. Vérifier qu'aucune gestion des clés n'a été activée pour le cluster :
    security key-manager external show -vserver svm_name
    Si le SVM possède déjà le maximum de quatre serveurs de clés principaux activés, vous devez supprimer l'un des serveurs de clés principaux existants avant d'en ajouter un nouveau.

  2. Activez le gestionnaire de clés principal :
    security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names

  3. Modifiez le serveur de clés principal pour ajouter des serveurs de clés secondaires. Le -secondary-key-servers paramètre accepte une liste séparée par des virgules de trois serveurs de clés au maximum.
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

Ajoutez des serveurs de clés secondaires à un serveur de clés principal existant

  1. Modifiez le serveur de clés principal pour ajouter des serveurs de clés secondaires. Le -secondary-key-servers paramètre accepte une liste séparée par des virgules de trois serveurs de clés au maximum.
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
    Pour plus d'informations sur les serveurs de clés secondaires, reportez-vous à la section [mod-secondary].

Modifier les serveurs de clés en cluster

Vous pouvez modifier les clusters de serveurs de clés externes en modifiant l'état (principal ou secondaire) de serveurs de clés spécifiques, en ajoutant et en supprimant des serveurs de clés secondaires ou en modifiant l'ordre d'accès des serveurs de clés secondaires.

Conversion des serveurs de clés principaux et secondaires

Pour convertir un serveur de clés principal en serveur de clés secondaire, vous devez d'abord le supprimer de la SVM avec le security key-manager external remove-servers commande.

Pour convertir un serveur de clés secondaire en serveur de clés principal, vous devez d'abord supprimer le serveur de clés secondaire de son serveur de clés principal existant. Voir [mod-secondary]. Si vous convertissez un serveur de clés secondaire en serveur principal lors de la suppression d'une clé existante, toute tentative d'ajout d'un nouveau serveur avant la suppression et la conversion peut entraîner la duplication des clés.

Modifier les serveurs de clés secondaires

Les serveurs de clés secondaires sont gérés à l'aide du -secondary-key-servers paramètre du security key-manager external modify-server commande. Le -secondary-key-servers le paramètre accepte une liste séparée par des virgules. L'ordre spécifié des serveurs de clés secondaires dans la liste détermine la séquence d'accès des serveurs de clés secondaires. L'ordre d'accès peut être modifié en exécutant la commande security key-manager external modify-server les serveurs de clés secondaires étant entrés dans une séquence différente.

Pour supprimer un serveur de clés secondaire, le -secondary-key-servers les arguments doivent inclure les serveurs clés que vous voulez conserver lors de l'omission de celui à supprimer. Pour supprimer tous les serveurs de clés secondaires, utilisez l'argument -, indiquant aucun.

Pour plus d'informations, reportez-vous au security key-manager external dans le "Référence de commande ONTAP".