Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Désinfectez un lecteur FIPS ou SED

Contributeurs

Si vous voulez rendre les données sur un lecteur FIPS ou SED définitivement inaccessibles et utiliser le lecteur pour les nouvelles données, vous pouvez utiliser le storage encryption disk sanitize commande de nettoyage du disque.

Description de la tâche

Lorsque vous procédez à la suppression d'un disque à auto-cryptage, le système modifie la clé de cryptage sur disque en une nouvelle valeur aléatoire, réinitialise l'état de verrouillage à la mise sous tension sur FALSE et définit l'ID de clé sur une valeur par défaut, soit l'ID sécurisé du fabricant 0x0 (disques SAS), soit une clé nulle (disques NVMe). Cela rend les données sur le disque inaccessibles et impossible à récupérer. Vous pouvez réutiliser des disques aseptisés comme disques de rechange non remis à zéro.

Avant de commencer

Vous devez être un administrateur de cluster pour effectuer cette tâche.

Étapes
  1. Migrer toutes les données qui doivent être conservées vers un agrégat sur un autre disque.

  2. Supprimez l'agrégat du lecteur FIPS ou SED pour les désinfecter :

    storage aggregate delete -aggregate aggregate_name

    Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    cluster1::> storage aggregate delete -aggregate aggr1
  3. Identifiez l'ID du disque pour le lecteur FIPS ou SED à désinfecter :

    storage encryption disk show -fields data-key-id,fips-key-id,owner

    Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    cluster1::> storage encryption disk show
    Disk    Mode Data Key ID
    -----   ---- ----------------------------------------------------------------
    0.0.0   data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C
    0.0.1   data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C
    1.10.2  data F1CB30AFF1CB30B00101000000000000CF0EFD81EA9F6324EA97B369351C56AC
    [...]
  4. Si un lecteur FIPS est exécuté en mode FIPS-Compliance, définissez l'ID de clé d'authentification FIPS du nœud sur le MSID 0x0 par défaut :

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    Vous pouvez utiliser le security key-manager query Commande permettant d'afficher les ID de clés.

    cluster1::> storage encryption disk modify -disk 1.10.2 -fips-key-id 0x0
    
    Info: Starting modify on 1 disk.
          View the status of the operation by using the
          storage encryption disk show-status command.
  5. Désinfectez le lecteur :

    storage encryption disk sanitize -disk disk_id

    Vous pouvez utiliser cette commande pour désinfecter uniquement les disques de rechange à chaud ou endommagés. Pour désinfecter tous les disques, quel que soit leur type, utilisez le -force-all-state option. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    Remarque ONTAP vous invite à saisir une phrase de confirmation avant de continuer. Saisissez la phrase exactement comme indiqué à l'écran.
    cluster1::> storage encryption disk sanitize -disk 1.10.2
    
    Warning: This operation will cryptographically sanitize 1 spare or broken self-encrypting disk on 1 node.
             To continue, enter sanitize disk: sanitize disk
    
    Info: Starting sanitize on 1 disk.
          View the status of the operation using the
          storage encryption disk show-status command.
  6. Éliminez la panne du disque désinfecté : storage disk unfail -spare true -disk disk_id

  7. Vérifiez si le disque est propriétaire : storage disk show -disk disk_id
    Si le disque ne possède pas de propriétaire, attribuez-en un. storage disk assign -owner node -disk disk_id

  8. Entrez le nodeshell pour le nœud qui possède les disques à désinfecter :

    system node run -node node_name

    Exécutez le disk sanitize release commande.

  9. Quittez le nodeshell. Éliminez à nouveau la panne du disque : storage disk unfail -spare true -disk disk_id

  10. Vérifier que le disque est désormais une pièce de rechange et prêt à être réutilisé dans un agrégat : storage disk show -disk disk_id