Activez le chiffrement sur un volume existant
Suggérer des modifications
PDF
Vous pouvez utiliser le volume move start ou le volume encryption conversion start commande permettant d'activer le chiffrement sur un volume existant.
-
Vous pouvez utiliser ONTAP 9.3 à partir de
volume encryption conversion startcommande permettant de chiffrer un volume existant « à la place », sans avoir à déplacer le volume vers un autre emplacement. Vous pouvez également utiliser levolume move startcommande. -
Pour ONTAP 9.2 et les versions antérieures, vous pouvez utiliser uniquement le
volume move startcommande permettant d'activer le chiffrement en déplaçant un volume existant.
Activez le chiffrement sur un volume existant à l'aide de la commande Volume Encryption conversion start
Vous pouvez utiliser ONTAP 9.3 à partir de volume encryption conversion start commande permettant de chiffrer un volume existant « à la place », sans avoir à déplacer le volume vers un autre emplacement.
Une fois que vous avez lancé une opération de conversion, elle doit être terminée. Si vous rencontrez un problème de performances pendant l'opération, vous pouvez exécuter le volume encryption conversion pause commande pour mettre l'opération en pause, et le volume encryption conversion resume commande pour reprendre l'opération.
|
Vous ne pouvez pas utiliser volume encryption conversion start Pour convertir un volume SnapLock.
|
-
Activer le chiffrement sur un volume existant :
volume encryption conversion start -vserver SVM_name -volume volume_namePour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante active le chiffrement sur un volume existant
vol1:cluster1::> volume encryption conversion start -vserver vs1 -volume vol1
Le système crée une clé de chiffrement pour le volume. Les données du volume sont chiffrées.
-
Vérifiez l'état de l'opération de conversion :
volume encryption conversion showPour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante affiche le statut de l'opération de conversion :
cluster1::> volume encryption conversion show Vserver Volume Start Time Status ------- ------ ------------------ --------------------------- vs1 vol1 9/18/2017 17:51:41 Phase 2 of 2 is in progress.
-
Une fois l'opération de conversion terminée, vérifiez que le volume est activé pour le chiffrement :
volume show -is-encrypted truePour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante affiche les volumes chiffrés sur
cluster1:cluster1::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
Si vous utilisez un serveur KMIP pour stocker les clés de cryptage d'un nœud, ONTAP « transfère » automatiquement une clé de cryptage vers le serveur lorsque vous chiffrez un volume.
Activez le chiffrement sur un volume existant à l'aide de la commande volume Move start
Vous pouvez utiliser le volume move start commande permettant d'activer le chiffrement en déplaçant un volume existant. Vous devez utiliser volume move start Dans ONTAP 9.2 et versions antérieures. Vous pouvez utiliser le même agrégat ou un autre agrégat.
-
Vous pouvez utiliser ONTAP 9.8 depuis
volume move startPour activer le chiffrement sur un volume SnapLock ou FlexGroup. -
Depuis ONTAP 9.4, si vous activez « cc-mode » lors de la configuration du gestionnaire de clés intégré, les volumes que vous créez avec le système
volume move startla commande est automatiquement chiffrée. Vous n'avez pas besoin de spécifier-encrypt-destination true. -
Depuis ONTAP 9.6, il est possible d'utiliser le chiffrement au niveau de l'agrégat pour attribuer des clés à l'agrégat contenant afin de déplacer les volumes. Un volume chiffré avec une clé unique est appelé volume NVE (ce qui signifie qu'il utilise le chiffrement de volume NetApp). Un volume chiffré avec une clé au niveau de l'agrégat est appelé un volume NAE_ (pour le chiffrement d'agrégat NetApp). Les volumes en texte brut ne sont pas pris en charge dans les agrégats NAE.
-
À partir de ONTAP 9.14.1, vous pouvez chiffrer un volume root SVM avec NVE. Pour plus d'informations, voir Configurer le chiffrement de volume NetApp sur un volume root SVM.
Vous devez être un administrateur de cluster pour effectuer cette tâche, ou un administrateur de SVM à qui l'administrateur du cluster a délégué des pouvoirs.
-
Déplacez un volume existant et spécifiez si le chiffrement est activé sur le volume :
Pour convertir…
Utilisez cette commande…
Volume en texte brut vers un volume NVE
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination trueUn volume NVE ou en texte clair vers un volume NAE (en supposant que le chiffrement au niveau de l'agrégat est activé sur la destination)
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key trueUn volume NAE vers un volume NVE
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key falseVolume NAE en volume en texte brut
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key falseUn volume NVE vers un volume en texte brut
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination falsePour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante convertit un volume en texte brut nommé
vol1Vers un volume NVE :cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true
En supposant que le chiffrement au niveau de l'agrégat soit activé sur la destination, la commande suivante convertit un volume NVE ou en texte brut nommé
vol1Pour un volume NAE :cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true
La commande suivante convertit un volume NAE nommé
vol2Vers un volume NVE :cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false
La commande suivante convertit un volume NAE nommé
vol2vers un volume en texte clair :cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false
La commande suivante convertit un volume NVE nommé
vol2vers un volume en texte clair :cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
-
Afficher le type de chiffrement des volumes du cluster :
volume show -fields encryption-type none|volume|aggregateLe
encryption-typeCe champ est disponible dans ONTAP 9.6 et versions ultérieures.Pour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante affiche le type de cryptage des volumes dans
cluster2:cluster2::> volume show -fields encryption-type vserver volume encryption-type ------- ------ --------------- vs1 vol1 none vs2 vol2 volume vs3 vol3 aggregate
-
Vérifiez que les volumes sont activés pour le chiffrement :
volume show -is-encrypted truePour la syntaxe complète de la commande, reportez-vous à la page man de la commande.
La commande suivante affiche les volumes chiffrés sur
cluster2:cluster2::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
Si vous utilisez un serveur KMIP pour stocker les clés de chiffrement d'un nœud, ONTAP transmet automatiquement une clé de chiffrement au serveur lorsque vous chiffrez un volume.