Controllare le chiavi di crittografia integrate - AFF A150
Prima di spegnere il controller compromesso e controllare lo stato delle chiavi di crittografia integrate, è necessario controllare lo stato del controller compromesso, disattivare il giveback automatico e verificare quale versione di ONTAP è in esecuzione sul sistema.
Se si dispone di un cluster con più di due nodi, questo deve trovarsi in quorum. Se il cluster non si trova in quorum o un controller integro mostra false per idoneità e salute, è necessario correggere il problema prima di spegnere il controller compromesso; vedere "Sincronizzare un nodo con il cluster".
-
Controllare lo stato del controller compromesso:
-
Se il controller non utilizzato viene visualizzato al prompt di login, accedere come
admin
. -
Se il controller compromesso è al prompt DEL CARICATORE e fa parte della configurazione ha, accedere come
admin
sul controller integro. -
Se il controller compromesso si trova in una configurazione standalone e al prompt DEL CARICATORE, contattare "mysupport.netapp.com".
-
-
Se AutoSupport è attivato, eliminare la creazione automatica del caso richiamando un messaggio AutoSupport:
system node autosupport invoke -node * -type all -message MAINT=number_of_hours_downh
Il seguente messaggio AutoSupport elimina la creazione automatica del caso per due ore:
cluster1:*> system node autosupport invoke -node * -type all -message MAINT=2h
-
Verificare la versione di ONTAP in esecuzione sul controller compromesso se attivato o sul controller partner se il controller non funzionante è attivo, utilizzando
version -v
comando:-
Se nell'output del comando viene visualizzato <lno-DARE> o <1Ono-DARE>, il sistema non supporta NVE, spegnere il controller.
-
Se <lno-DARE> non viene visualizzato nell'output del comando e il sistema esegue ONTAP 9.5, passare a. Opzione 1: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.5 e versioni precedenti.
-
Se <lno-DARE> non viene visualizzato nell'output del comando e sul sistema è in esecuzione ONTAP 9.6 o versione successiva, passare a. Opzione 2: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.6 e versioni successive.
-
-
Se il controller compromesso fa parte di una configurazione ha, disattivare il giveback automatico dal controller integro:
storage failover modify -node local -auto-giveback false
oppurestorage failover modify -node local -auto-giveback-after-panic false
Opzione 1: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.5 e versioni precedenti
Prima di spegnere il controller compromesso, è necessario verificare se il sistema ha abilitato NetApp Volume Encryption (NVE) o NetApp Storage Encryption (NSE). In tal caso, è necessario verificare la configurazione.
-
Collegare il cavo della console al controller compromesso.
-
Controllare se NVE è configurato per qualsiasi volume nel cluster:
volume show -is-encrypted true
Se nell'output sono elencati volumi, NVE viene configurato ed è necessario verificare la configurazione di NVE. Se nell'elenco non sono presenti volumi, verificare che NSE sia configurato.
-
Verificare se NSE è configurato:
storage encryption disk show
-
Se l'output del comando elenca i dettagli del disco con le informazioni di modalità e ID chiave, NSE è configurato ed è necessario verificare la configurazione NSE.
-
Se NVE e NSE non sono configurati, è possibile spegnere il controller compromesso.
-
Verificare la configurazione NVE
-
Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi:
security key-manager query
-
Se il
Restored
viene visualizzata la colonnayes
vengono visualizzati tutti i principali manageravailable
, è sicuro spegnere il controller compromesso. -
Se il
Restored
la colonna visualizza un valore diverso dayes
, o se viene visualizzato un gestore di chiaviunavailable
, è necessario completare alcuni passaggi aggiuntivi. -
Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, è necessario completare altri passaggi.
-
-
Se il
Restored
la colonna visualizzata non è diversa dayes
, o se viene visualizzato un gestore di chiaviunavailable
:-
Recuperare e ripristinare tutte le chiavi di autenticazione e gli ID chiave associati:
security key-manager restore -address *
Se il comando non riesce, contattare il supporto NetApp.
-
Verificare che il
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione e visualizzate da tutti i gestori delle chiaviavailable
:security key-manager query
-
Spegnere il controller compromesso.
-
-
Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, visualizzare i tasti memorizzati nel gestore delle chiavi integrato:
security key-manager key show -detail
-
Se il
Restored
viene visualizzata la colonnayes
eseguire manualmente il backup delle informazioni di gestione delle chiavi integrate:-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di backup OKM:
security key-manager backup show
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
Spegnere il controller compromesso.
-
-
Se il
Restored
la colonna visualizza un valore diverso dayes
:-
Eseguire la procedura guidata di configurazione del gestore delle chiavi:
security key-manager setup -node target/impaired node name
Inserire la passphrase di gestione della chiave integrata del cliente al prompt. Se non è possibile fornire la passphrase, contattare "mysupport.netapp.com" -
Verificare che il
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione:security key-manager key show -detail
-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di backup OKM:
security key-manager backup show
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
È possibile arrestare il controller in modo sicuro.
-
-
Verificare la configurazione NSE
-
Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi:
security key-manager query
-
Se il
Restored
viene visualizzata la colonnayes
vengono visualizzati tutti i principali manageravailable
, è sicuro spegnere il controller compromesso. -
Se il
Restored
la colonna visualizza un valore diverso dayes
, o se viene visualizzato un gestore di chiaviunavailable
, è necessario completare alcuni passaggi aggiuntivi. -
Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, è necessario completare altri passaggi
-
-
Se il
Restored
la colonna visualizzata non è diversa dayes
, o se viene visualizzato un gestore di chiaviunavailable
:-
Recuperare e ripristinare tutte le chiavi di autenticazione e gli ID chiave associati:
security key-manager restore -address *
Se il comando non riesce, contattare il supporto NetApp.
-
Verificare che il
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione e visualizzate da tutti i gestori delle chiaviavailable
:security key-manager query
-
Spegnere il controller compromesso.
-
-
Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, visualizzare i tasti memorizzati nel gestore delle chiavi integrato:
security key-manager key show -detail
-
Se il
Restored
viene visualizzata la colonnayes
, eseguire manualmente il backup delle informazioni di gestione delle chiavi integrate:-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di backup OKM:
security key-manager backup show
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
Spegnere il controller compromesso.
-
-
Se il
Restored
la colonna visualizza un valore diverso dayes
:-
Eseguire la procedura guidata di configurazione del gestore delle chiavi:
security key-manager setup -node target/impaired node name
Inserire la passphrase OKM del cliente quando richiesto. Se non è possibile fornire la passphrase, contattare "mysupport.netapp.com" -
Verificare che il
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione:security key-manager key show -detail
-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per eseguire il backup delle informazioni OKM:
security key-manager backup show
Assicurarsi che le informazioni OKM siano salvate nel file di log. Queste informazioni saranno necessarie in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM. -
Copiare il contenuto delle informazioni di backup in un file separato o nel registro. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
È possibile spegnere il controller in modo sicuro.
-
-
Opzione 2: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.6 e versioni successive
Prima di spegnere il controller compromesso, è necessario verificare se il sistema ha abilitato NetApp Volume Encryption (NVE) o NetApp Storage Encryption (NSE). In tal caso, è necessario verificare la configurazione.
-
Verificare se NVE è in uso per qualsiasi volume nel cluster:
volume show -is-encrypted true
Se nell'output sono elencati volumi, NVE viene configurato ed è necessario verificare la configurazione di NVE. Se nell'elenco non sono presenti volumi, verificare che NSE sia configurato e in uso.
-
Verificare se NSE è configurato e in uso:
storage encryption disk show
-
Se l'output del comando elenca i dettagli del disco con le informazioni di modalità e ID chiave, NSE è configurato ed è necessario verificare la configurazione NSE e in uso.
-
Se non viene visualizzato alcun disco, NSE non è configurato.
-
Se NVE e NSE non sono configurati, nessun disco è protetto con chiavi NSE, è sicuro spegnere il controller compromesso.
-
Verificare la configurazione NVE
-
Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi:
security key-manager key query
Dopo la release di ONTAP 9.6, potrebbero essere disponibili altri tipi di gestore delle chiavi. I tipi sono KMIP
,AKV
, e.GCP
. La procedura per la conferma di questi tipi è la stessa di quella per la confermaexternal
oppureonboard
tipi di gestore delle chiavi.-
Se il
Key Manager
display dei tipiexternal
e a.Restored
viene visualizzata la colonnayes
, è sicuro spegnere il controller compromesso. -
Se il
Key Manager
display dei tipionboard
e a.Restored
viene visualizzata la colonnayes
, è necessario completare alcuni passaggi aggiuntivi. -
Se il
Key Manager
display dei tipiexternal
e a.Restored
la colonna visualizza un valore diverso dayes
, è necessario completare alcuni passaggi aggiuntivi. -
Se il
Key Manager
display dei tipionboard
e a.Restored
la colonna visualizza un valore diverso dayes
, è necessario completare alcuni passaggi aggiuntivi.
-
-
Se il
Key Manager
display dei tipionboard
e a.Restored
viene visualizzata la colonnayes
, Eseguire manualmente il backup delle informazioni OKM:-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di gestione delle chiavi:
security key-manager onboard show-backup
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
Spegnere il controller compromesso.
-
-
Se il
Key Manager
display dei tipiexternal
e a.Restored
la colonna visualizza un valore diverso dayes
:-
Ripristinare le chiavi di autenticazione per la gestione delle chiavi esterne in tutti i nodi del cluster:
security key-manager external restore
Se il comando non riesce, contattare il supporto NetApp.
-
Verificare che il
Restored
colonna uguale a.yes
per tutte le chiavi di autenticazione:security key-manager key query
-
Spegnere il controller compromesso.
-
-
Se il
Key Manager
display dei tipionboard
e a.Restored
la colonna visualizza un valore diverso dayes
:-
Immettere il comando di sincronizzazione del gestore delle chiavi di sicurezza integrato:
security key-manager onboard sync
Immettere la passphrase di gestione della chiave alfanumerica integrata a 32 caratteri del cliente al prompt. Se non è possibile fornire la passphrase, contattare il supporto NetApp. "mysupport.netapp.com" -
Verificare
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione:security key-manager key query
-
Verificare che il
Key Manager
viene visualizzato il tipoonboard
, Quindi eseguire manualmente il backup delle informazioni OKM. -
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di backup per la gestione delle chiavi:
security key-manager onboard show-backup
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
È possibile spegnere il controller in modo sicuro.
-
Verificare la configurazione NSE
-
Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi:
security key-manager key query -key-type NSE-AK
Dopo la release di ONTAP 9.6, potrebbero essere disponibili altri tipi di gestore delle chiavi. I tipi sono KMIP
,AKV
, e.GCP
. La procedura per la conferma di questi tipi è la stessa di quella per la confermaexternal
oppureonboard
tipi di gestore delle chiavi.-
Se il
Key Manager
display dei tipiexternal
e a.Restored
viene visualizzata la colonnayes
, è sicuro spegnere il controller compromesso. -
Se il
Key Manager
display dei tipionboard
e a.Restored
viene visualizzata la colonnayes
, è necessario completare alcuni passaggi aggiuntivi. -
Se il
Key Manager
display dei tipiexternal
e a.Restored
la colonna visualizza un valore diverso dayes
, è necessario completare alcuni passaggi aggiuntivi. -
Se il
Key Manager
display dei tipiexternal
e a.Restored
la colonna visualizza un valore diverso dayes
, è necessario completare alcuni passaggi aggiuntivi.
-
-
Se il
Key Manager
display dei tipionboard
e a.Restored
viene visualizzata la colonnayes
, Eseguire manualmente il backup delle informazioni OKM:-
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di gestione delle chiavi:
security key-manager onboard show-backup
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
È possibile spegnere il controller in modo sicuro.
-
-
Se il
Key Manager
display dei tipiexternal
e a.Restored
la colonna visualizza un valore diverso dayes
:-
Ripristinare le chiavi di autenticazione per la gestione delle chiavi esterne in tutti i nodi del cluster:
security key-manager external restore
Se il comando non riesce, contattare il supporto NetApp.
-
Verificare che il
Restored
colonna uguale a.yes
per tutte le chiavi di autenticazione:security key-manager key query
-
È possibile spegnere il controller in modo sicuro.
-
-
Se il
Key Manager
display dei tipionboard
e a.Restored
la colonna visualizza un valore diverso dayes
:-
Immettere il comando di sincronizzazione del gestore delle chiavi di sicurezza integrato:
security key-manager onboard sync
Immettere la passphrase di gestione della chiave alfanumerica integrata a 32 caratteri del cliente al prompt. Se non è possibile fornire la passphrase, contattare il supporto NetApp.
-
Verificare
Restored
viene visualizzata la colonnayes
per tutte le chiavi di autenticazione:security key-manager key query
-
Verificare che il
Key Manager
viene visualizzato il tipoonboard
, Quindi eseguire manualmente il backup delle informazioni OKM. -
Accedere alla modalità avanzata dei privilegi e digitare
y
quando viene richiesto di continuare:set -priv advanced
-
Immettere il comando per visualizzare le informazioni di backup per la gestione delle chiavi:
security key-manager onboard show-backup
-
Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
-
Tornare alla modalità admin:
set -priv admin
-
È possibile spegnere il controller in modo sicuro.
-