Ripristinare l'immagine ONTAP sul supporto di avvio - ASA A70 e ASA A90
Suggerisci modifiche
PDF
Dopo aver installato il nuovo dispositivo multimediale di avvio nel sistema ASA A70 o ASA A90, è possibile avviare il processo di ripristino automatico dei supporti di avvio per ripristinare la configurazione dal nodo partner.
Durante il processo di ripristino, il sistema controlla se la crittografia è attivata e determina il tipo di crittografia della chiave in uso. Se la crittografia della chiave è attivata, il sistema guida l'utente attraverso le procedure appropriate per ripristinarla.
-
Per OKM, è necessaria la passphrase dell'intero cluster e anche i dati di backup.
-
Per EKM, è necessario copiare i seguenti file dal nodo partner:
-
file /cfcard/kmip/servers.cfg.
-
file /cfcard/kmip/certs/client.crt.
-
file /cfcard/kmip/certs/client.key.
-
File /cfcard/kmip/certs/CA.pem.
-
-
Al prompt di Loader, immettere il comando:
boot_recovery -partnerSullo schermo viene visualizzato il seguente messaggio:
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
Monitorare il processo di ripristino dell'installazione dei supporti di avvio.
Il processo viene completato e viene visualizzato il
Installation completemessaggio. -
Il sistema controlla il tipo di crittografia e di crittografia e visualizza uno dei due messaggi. A seconda del messaggio visualizzato, eseguire una delle seguenti operazioni:
A volte, il processo potrebbe non essere in grado di identificare se il gestore delle chiavi è configurato sul sistema. Viene visualizzato un messaggio di errore, viene chiesto se il gestore delle chiavi è configurato per il sistema e viene chiesto quale tipo di gestore delle chiavi è configurato. Il processo riprenderà dopo aver risolto il problema. Mostrare un esempio di messaggi di errore di configurazione per la ricerca
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboardSe viene visualizzato questo messaggio… Eseguire questa operazione… key manager is not configured. Exiting.La crittografia non è installata sul sistema. Attenersi alla seguente procedura:
-
Accedere al nodo quando viene visualizzato il prompt di login e restituire lo spazio di archiviazione:
storage failover giveback -ofnode impaired_node_name -
Andare al passaggio 5 per abilitare il giveback automatico se è stato disattivato.
key manager is configured.Andare al passaggio 4 per ripristinare il gestore delle chiavi appropriato.
Il nodo accede al menu di avvio ed esegue:
-
Opzione 10 per sistemi con Onboard Key Manager (OKM).
-
Opzione 11 per i sistemi con EKM (External Key Manager).
-
-
Selezionare il processo di ripristino del gestore delle chiavi appropriato.
Onboard Key Manager (OKM)Se viene rilevato un OKM, il sistema visualizza il seguente messaggio e inizia a eseguire l'opzione 10 del menu di avvio.
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Immettere
Yquando richiesto per confermare che si desidera avviare il processo di ripristino OKM. -
Quando richiesto, immettere quanto segue:
-
La frase segreta
-
La passphrase di nuovo quando viene richiesto di confermare
-
Dati di backup per il gestore delle chiavi di bordo
Mostra un esempio di richiesta di passphrase e dati di backup
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
-
Continuare a monitorare il processo di ripristino durante il ripristino dei file appropriati dal nodo partner.
Al termine del processo di ripristino, il nodo viene riavviato. I seguenti messaggi indicano che il ripristino è stato eseguito correttamente:
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
Quando il nodo viene riavviato, verificare che il ripristino del supporto di avvio sia stato eseguito correttamente confermando che il sistema è nuovamente in linea e operativo.
-
Riportare la centralina guasta al normale funzionamento restituendo la memoria:
storage failover giveback -ofnode impaired_node_name -
Una volta che il nodo partner è completamente attivo e fornisce i dati, sincronizzare le chiavi OKM nel cluster.
security key-manager onboard sync
Gestore chiavi esterno (EKM)Se viene rilevato EKM, il sistema visualizza il seguente messaggio e inizia a eseguire l'opzione 11 del menu di avvio.
key manager is configured. Entering Bootmenu Option 11...
-
Il passaggio successivo dipende dalla versione di ONTAP in esecuzione sul sistema:
Se il sistema è in esecuzione… Eseguire questa operazione… ONTAP 9.16.0
-
Premere
Ctlr-Cper uscire dall'opzione 11 del menu di avvio. -
Premere
Ctlr-Cper uscire dal processo di configurazione EKM e tornare al menu di avvio. -
Selezionare l'opzione del menu di avvio 8.
-
Riavviare il nodo.
Se
AUTOBOOTè impostato, il nodo viene riavviato e utilizza i file di configurazione dal nodo partner.Se
AUTOBOOTnon è impostato, immettere il comando di avvio appropriato. Il nodo viene riavviato e utilizza i file di configurazione dal nodo partner. -
Riavviare il nodo in modo che EKM protegga la partizione dei supporti di avvio.
-
Passare alla fase c.
ONTAP 9.16.1 e versioni successive
Passare alla fase successiva.
-
-
Quando richiesto, immettere le seguenti impostazioni di configurazione EKM:
Azione Esempio Immettere il contenuto del certificato client dal
/cfcard/kmip/certs/client.crtfile.Mostra un esempio di contenuto del certificato client
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
Immettere il contenuto del file della chiave client dal
/cfcard/kmip/certs/client.keyfile.Mostra un esempio di contenuto del file della chiave client
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
Immettere il contenuto del file CA del server KMIP dal
/cfcard/kmip/certs/CA.pemfile.Mostra un esempio del contenuto del file del server KMIP
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
Immettere il contenuto del file di configurazione del server dal
/cfcard/kmip/servers.cfgfile.Mostra un esempio del contenuto del file di configurazione del server
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
Se richiesto, immettere l'UUID cluster ONTAP dal partner.
È possibile controllare l'UUID del cluster dal nodo partner utilizzando
cluster identify showcomando.Mostra un esempio di UUID cluster ONTAP
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).Se richiesto, inserire l'interfaccia di rete temporanea e le impostazioni per il nodo.
Devi inserire:
-
L'indirizzo IP per la porta
-
La netmask per la porta
-
L'indirizzo IP del gateway predefinito
Mostrare un esempio di impostazione di rete temporanea
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
A seconda che la chiave sia stata ripristinata correttamente, eseguire una delle seguenti operazioni:
-
Se vedi
kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696nell'output, la configurazione EKM è stata ripristinata correttamente.Il processo tenta di ripristinare i file appropriati dal nodo partner e riavvia il nodo. Vai al passaggio d.
-
Se il ripristino della chiave non riesce, il sistema si arresta e indica che non è stato possibile ripristinarla. Vengono visualizzati i messaggi di errore e di avviso. È necessario eseguire nuovamente il processo di ripristino:
boot_recovery -partner
Mostrare un esempio di messaggi di errore e di avvertenza relativi al ripristino della chiave
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
Quando il nodo viene riavviato, verificare che il ripristino del supporto di avvio sia stato eseguito correttamente confermando che il sistema è nuovamente online e operativo.
-
Riportare il controller al funzionamento normale restituendo lo storage:
storage failover giveback -ofnode impaired_node_name
-
-
Se il giveback automatico è stato disattivato, riabilitarlo:
storage failover modify -node local -auto-giveback true -
Se AutoSupport è attivato, ripristinare la creazione automatica dei casi:
system node autosupport invoke -node * -type all -message MAINT=END
Dopo aver ripristinato l'immagine ONTAP e dopo aver attivato e distribuito i dati, si "Restituire la parte guasta a NetApp".