Configurez des serveurs de clés externes en cluster dans ONTAP
À partir de ONTAP 9.11.1, il est possible de configurer la connectivité aux serveurs de gestion externe des clés en cluster sur un SVM. Avec des serveurs de clés en cluster, vous pouvez désigner des serveurs de clés principaux et secondaires sur une SVM. Lors de l'enregistrement des clés, ONTAP essaie d'abord d'accéder à un serveur de clés principal avant de tenter d'accéder aux serveurs secondaires de manière séquentielle jusqu'à ce que l'opération s'effectue correctement, ce qui évite la duplication des clés.
Les serveurs de clés externes peuvent être utilisés pour les clés NSE, NVE, NAE et SED. Un SVM peut prendre en charge jusqu'à quatre principaux serveurs KMIP externes. Chaque serveur principal peut prendre en charge jusqu'à trois serveurs de clés secondaires.
Avant de commencer
-
Ce processus prend uniquement en charge les serveurs de clés qui utilisent KMIP. Pour obtenir la liste des serveurs de clés pris en charge, reportez-vous à la "Matrice d'interopérabilité NetApp".
-
Tous les nœuds du cluster doivent exécuter ONTAP 9.11.1 ou une version ultérieure.
-
L'ordre des serveurs répertorie les arguments dans
-secondary-key-servers
Paramètre correspond à l'ordre d'accès des serveurs de gestion externe des clés (KMIP). -
Pour en savoir plus sur les commandes décrites dans cette procédure, consultez le "Référence de commande ONTAP."
Créer un serveur de clés mis en cluster
La procédure de configuration varie selon que vous avez configuré ou non un serveur de clés principal.
-
Vérifier qu'aucune gestion des clés n'a été activée pour le cluster :
security key-manager external show -vserver svm_name
Si le SVM possède déjà le maximum de quatre serveurs de clés principaux activés, vous devez supprimer l'un des serveurs de clés principaux existants avant d'en ajouter un nouveau. -
Activez le gestionnaire de clés principal :
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
-
Modifiez le serveur de clés principal pour ajouter des serveurs de clés secondaires. Le
-secondary-key-servers
paramètre accepte une liste séparée par des virgules de trois serveurs de clés au maximum.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
Modifiez le serveur de clés principal pour ajouter des serveurs de clés secondaires. Le
-secondary-key-servers
paramètre accepte une liste séparée par des virgules de trois serveurs de clés au maximum.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
Pour plus d'informations sur les serveurs de clés secondaires, reportez-vous à la section [mod-secondary].
Modifier les serveurs de clés en cluster
Vous pouvez modifier les clusters de serveurs de clés externes en modifiant l'état (principal ou secondaire) de serveurs de clés spécifiques, en ajoutant et en supprimant des serveurs de clés secondaires ou en modifiant l'ordre d'accès des serveurs de clés secondaires.
Conversion des serveurs de clés principaux et secondaires
Pour convertir un serveur de clés principal en serveur de clés secondaire, vous devez d'abord le supprimer de la SVM avec le security key-manager external remove-servers
commande.
Pour convertir un serveur de clés secondaire en serveur de clés principal, vous devez d'abord supprimer le serveur de clés secondaire de son serveur de clés principal existant. Voir [mod-secondary]. Si vous convertissez un serveur de clés secondaire en serveur principal lors de la suppression d'une clé existante, toute tentative d'ajout d'un nouveau serveur avant la suppression et la conversion peut entraîner la duplication des clés.
Modifier les serveurs de clés secondaires
Les serveurs de clés secondaires sont gérés à l'aide du -secondary-key-servers
paramètre du security key-manager external modify-server
commande. Le -secondary-key-servers
le paramètre accepte une liste séparée par des virgules. L'ordre spécifié des serveurs de clés secondaires dans la liste détermine la séquence d'accès des serveurs de clés secondaires. L'ordre d'accès peut être modifié en exécutant la commande security key-manager external modify-server
les serveurs de clés secondaires étant entrés dans une séquence différente.
Pour supprimer un serveur de clés secondaire, le -secondary-key-servers
les arguments doivent inclure les serveurs clés que vous voulez conserver lors de l'omission de celui à supprimer. Pour supprimer tous les serveurs de clés secondaires, utilisez l'argument -
, indiquant aucun.
Pour en savoir plus sur la commande security key-manager external
, consultez la référence de commande ONTAP.