Renvoyez un lecteur FIPS ou SED au service en cas de perte de clés d'authentification
Le système traite un lecteur FIPS ou SED comme étant rompu si vous perdez définitivement les clés d'authentification pour lui et que vous ne pouvez pas les récupérer du serveur KMIP. Bien que vous ne puissiez pas accéder ou récupérer les données sur le disque, vous pouvez prendre des mesures pour rendre à nouveau disponible l'espace inutilisé de SED pour les données.
Vous devez être un administrateur de cluster pour effectuer cette tâche.
Vous ne devez utiliser ce processus que si vous êtes certain que les clés d'authentification du lecteur FIPS ou SED sont définitivement perdues et que vous ne pouvez pas les récupérer.
Si les disques sont partitionnés, ils doivent d'abord être départitionnés avant que vous ne puissiez démarrer ce processus.
La commande permettant de départitionner un disque est uniquement disponible au niveau diagnostic et ne doit être effectuée qu'avec NetApp support supervision. Il est fortement recommandé de contacter le support NetApp avant de continuer. vous pouvez également consulter l'article de la base de connaissances "Comment départitionner un lecteur de réserve dans ONTAP". |
-
Renvoyez un lecteur FIPS ou SED au service :
Si le SEDS est…
Procédez comme suit…
Pas en mode de conformité FIPS, ni en mode de conformité FIPS et la clé FIPS est disponible
-
Définissez le niveau de privilège sur avancé :
set -privilege advanced
-
Réinitialisez la clé FIPS sur l'ID sécurisé de fabrication par défaut 0x0 :
storage encryption disk modify -fips-key-id 0x0 -disk disk_id
-
Vérifiez que l'opération a réussi :
storage encryption disk show-status
Si l'opération a échoué, utilisez le processus PSID dans cette rubrique. -
Procédez au nettoyage du disque défaillant :
storage encryption disk sanitize -disk disk_id
Vérifiez que l'opération a réussi avec la commandestorage encryption disk show-status
avant de passer à l'étape suivante. -
Éliminez la panne du disque désinfecté :
storage disk unfail -spare true -disk disk_id
-
Vérifiez si le disque est propriétaire :
storage disk show -disk disk_id
Si le disque ne possède pas de propriétaire, attribuez-en un.
storage disk assign -owner node -disk disk_id
-
Entrez le nodeshell pour le nœud qui possède les disques à désinfecter :
system node run -node node_name
Exécutez le
disk sanitize release
commande. -
-
Quittez le nodeshell. Éliminez à nouveau la panne du disque :
storage disk unfail -spare true -disk disk_id
-
Vérifier que le disque est désormais une pièce de rechange et prêt à être réutilisé dans un agrégat :
storage disk show -disk disk_id
En mode FIPS-compliance, la clé FIPS n'est pas disponible et les disques SED ont un PSID imprimé sur l'étiquette
-
Procurez-vous le PSID du disque à partir de l'étiquette du disque.
-
Définissez le niveau de privilège sur avancé :
set -privilege advanced
-
Réinitialise le disque en fonction des paramètres configurés en usine :
storage encryption disk revert-to-original-state -disk disk_id -psid disk_physical_secure_id
Vérifiez que l'opération a réussi avec la commandestorage encryption disk show-status
avant de passer à l'étape suivante. -
Si vous utilisez ONTAP 9.8P5 ou une version antérieure, passez à l'étape suivante. Si vous exécutez ONTAP 9.8P6 ou une version ultérieure, éliminez la panne du disque désinfecté.
storage disk unfail -disk disk_id
-
Vérifiez si le disque est propriétaire :
storage disk show -disk disk_id
Si le disque ne possède pas de propriétaire, attribuez-en un.
storage disk assign -owner node -disk disk_id
-
Entrez le nodeshell pour le nœud qui possède les disques à désinfecter :
system node run -node node_name
Exécutez le
disk sanitize release
commande. -
-
Quittez le nodeshell. Éliminez à nouveau la panne du disque :
storage disk unfail -spare true -disk disk_id
-
Vérifier que le disque est désormais une pièce de rechange et prêt à être réutilisé dans un agrégat :
storage disk show -disk disk_id
-
Pour connaître la syntaxe complète de la commande, reportez-vous au "référence de commande".