Activer la gestion externe des clés dans ONTAP 9.5 et les versions antérieures (basée sur le matériel)
Vous pouvez utiliser un ou plusieurs serveurs KMIP pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous pouvez connecter jusqu'à quatre serveurs KMIP à un nœud. Un minimum de deux serveurs est recommandé pour la redondance et la reprise après sinistre.
ONTAP configure la connectivité du serveur KMIP pour tous les nœuds du cluster.
-
Les certificats client SSL KMIP et serveur doivent avoir été installés.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Vous devez configurer l'environnement MetroCluster avant de configurer un gestionnaire de clés externe.
-
Dans un environnement MetroCluster, vous devez installer le même certificat SSL KMIP sur les deux clusters.
-
Configurer la connectivité du gestionnaire de clés pour les nœuds du cluster :
security key-manager setup
La configuration du gestionnaire de clés démarre.
Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters. -
Entrez la réponse appropriée à chaque invite.
-
Ajoutez un serveur KMIP :
security key-manager add -address key_management_server_ipaddress
clusterl::> security key-manager add -address 20.1.1.1
Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters. -
Ajoutez un serveur KMIP supplémentaire pour la redondance :
security key-manager add -address key_management_server_ipaddress
clusterl::> security key-manager add -address 20.1.1.2
Dans un environnement MetroCluster, vous devez exécuter cette commande sur les deux clusters. -
Vérifiez que tous les serveurs KMIP configurés sont connectés :
security key-manager show -status
Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.
cluster1::> security key-manager show -status Node Port Registered Key Manager Status -------------- ---- ---------------------- --------------- cluster1-01 5696 20.1.1.1 available cluster1-01 5696 20.1.1.2 available cluster1-02 5696 20.1.1.1 available cluster1-02 5696 20.1.1.2 available
-
Vous pouvez également convertir des volumes en texte brut en volumes chiffrés.
volume encryption conversion start
Un gestionnaire de clés externe doit être entièrement configuré avant la conversion des volumes. Dans un environnement MetroCluster, un gestionnaire de clés externe doit être configuré sur les deux sites.