Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activer la gestion externe des clés dans ONTAP 9.5 et les versions antérieures (basée sur le matériel)

Contributeurs

Vous pouvez utiliser un ou plusieurs serveurs KMIP pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous pouvez connecter jusqu'à quatre serveurs KMIP à un nœud. Un minimum de deux serveurs est recommandé pour la redondance et la reprise après sinistre.

Description de la tâche

ONTAP configure la connectivité du serveur KMIP pour tous les nœuds du cluster.

Avant de commencer
  • Les certificats client SSL KMIP et serveur doivent avoir été installés.

  • Vous devez être un administrateur de cluster pour effectuer cette tâche.

  • Vous devez configurer l'environnement MetroCluster avant de configurer un gestionnaire de clés externe.

  • Dans un environnement MetroCluster, vous devez installer le même certificat SSL KMIP sur les deux clusters.

Étapes
  1. Configurer la connectivité du gestionnaire de clés pour les nœuds du cluster :

    security key-manager setup

    La configuration du gestionnaire de clés démarre.

    Remarque Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters.
  2. Entrez la réponse appropriée à chaque invite.

  3. Ajoutez un serveur KMIP :

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.1
    Remarque Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters.
  4. Ajoutez un serveur KMIP supplémentaire pour la redondance :

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.2
    Remarque Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters.
  5. Vérifiez que tous les serveurs KMIP configurés sont connectés :

    security key-manager show -status

    Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    cluster1::> security key-manager show -status
    
    Node            Port      Registered Key Manager  Status
    --------------  ----      ----------------------  ---------------
    cluster1-01     5696      20.1.1.1                available
    cluster1-01     5696      20.1.1.2                available
    cluster1-02     5696      20.1.1.1                available
    cluster1-02     5696      20.1.1.2                available
  6. Vous pouvez également convertir des volumes en texte brut en volumes chiffrés.

    volume encryption conversion start

    Un gestionnaire de clés externe doit être entièrement configuré avant la conversion des volumes. Dans un environnement MetroCluster, un gestionnaire de clés externe doit être configuré sur les deux sites.