Skip to main content
ONTAP MetroCluster
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare la crittografia end-to-end in una configurazione IP MetroCluster

Collaboratori

A partire da ONTAP 9.15.1, è possibile configurare la crittografia end-to-end per crittografare il traffico back-end, ad esempio NVlog e i dati di replica dello storage, tra i siti in una configurazione IP di MetroCluster.

A proposito di questa attività
  • Per eseguire questa attività, è necessario essere un amministratore del cluster.

  • Prima di poter configurare la crittografia end-to-end, è necessario "Configurare la gestione esterna delle chiavi".

  • Esaminare i sistemi supportati e la versione ONTAP minima richiesta per configurare la crittografia end-to-end in una configurazione IP di MetroCluster:

    Release ONTAP minima

    Sistemi supportati

    ONTAP 9.15.1

    • AFF A400

    • FAS8300

    • FAS8700

Attiva la crittografia end-to-end

Per attivare la crittografia end-to-end, procedere come segue.

Fasi
  1. Verificare lo stato della configurazione MetroCluster.

    1. Verificare che i componenti di MetroCluster siano integri:

      metrocluster check run
      cluster_A::*> metrocluster check run

      L'operazione viene eseguita in background.

    2. Dopo il metrocluster check run l'operazione è completata, eseguire:

      metrocluster check show

      Dopo circa cinque minuti, vengono visualizzati i seguenti risultati:

    cluster_A:::*> metrocluster check show
    
    Component           Result
    ------------------- ---------
    nodes               ok
    lifs                ok
    config-replication  ok
    aggregates          ok
    clusters            ok
    connections         not-applicable
    volumes             ok
    7 entries were displayed.
    1. Controllare lo stato dell'operazione di controllo MetroCluster in esecuzione:

      metrocluster operation history show -job-id <id>
    2. Verificare che non siano presenti avvisi sullo stato di salute:

      system health alert show
  2. Verificare che la gestione delle chiavi esterne sia configurata su entrambi i cluster:

    security key-manager external show-status
  3. Abilita la crittografia end-to-end per ogni gruppo di DR:

    metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>

    Esempio

    cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1
    Warning: Enabling encryption for a DR Group will secure NVLog and Storage
             replication data sent between MetroCluster nodes and have an impact on
             performance. Do you want to continue? {y|n}: y
    [Job 244] Job succeeded: Modify is successful.

    Ripetere questa operazione per ciascun gruppo DR nella configurazione.

  4. Verificare che la crittografia end-to-end sia abilitata:

    metrocluster node show -fields is-encryption-enabled

    Esempio

    cluster_A::*> metrocluster node show -fields is-encryption-enabled
    
    dr-group-id cluster    node      configuration-state is-encryption-enabled
    ----------- ---------- --------  ------------------- -----------------
    1           cluster_A  node_A_1  configured          true
    1           cluster_A  node_A_2  configured          true
    1           cluster_B  node_B_1  configured          true
    1           cluster_B  node_B_2  configured          true
    4 entries were displayed.

Disattiva la crittografia end-to-end

Per disattivare la crittografia end-to-end, procedere come segue.

Fasi
  1. Verificare lo stato della configurazione MetroCluster.

    1. Verificare che i componenti di MetroCluster siano integri:

      metrocluster check run
      cluster_A::*> metrocluster check run

      L'operazione viene eseguita in background.

    2. Dopo il metrocluster check run l'operazione è completata, eseguire:

      metrocluster check show

      Dopo circa cinque minuti, vengono visualizzati i seguenti risultati:

    cluster_A:::*> metrocluster check show
    
    Component           Result
    ------------------- ---------
    nodes               ok
    lifs                ok
    config-replication  ok
    aggregates          ok
    clusters            ok
    connections         not-applicable
    volumes             ok
    7 entries were displayed.
    1. Controllare lo stato dell'operazione di controllo MetroCluster in esecuzione:

      metrocluster operation history show -job-id <id>
    2. Verificare che non siano presenti avvisi sullo stato di salute:

      system health alert show
  2. Verificare che la gestione delle chiavi esterne sia configurata su entrambi i cluster:

    security key-manager external show-status
  3. Disattivare la crittografia end-to-end per ogni gruppo di DR:

    metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>

    Esempio

    cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1
    [Job 244] Job succeeded: Modify is successful.

    Ripetere questa operazione per ciascun gruppo DR nella configurazione.

  4. Verificare che la crittografia end-to-end sia disattivata:

    metrocluster node show -fields is-encryption-enabled

    Esempio

    cluster_A::*> metrocluster node show -fields is-encryption-enabled
    
    dr-group-id cluster    node      configuration-state is-encryption-enabled
    ----------- ---------- --------  ------------------- -----------------
    1           cluster_A  node_A_1  configured          false
    1           cluster_A  node_A_2  configured          false
    1           cluster_B  node_B_1  configured          false
    1           cluster_B  node_B_2  configured          false
    4 entries were displayed.