Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristinare l'immagine ONTAP sul supporto di avvio - ASA A1K

Collaboratori netapp-jsnyder dougthomp
PDF

Dopo aver installato il nuovo dispositivo multimediale di avvio nel sistema ASA A1K, è possibile avviare il processo di ripristino automatico del supporto di avvio per ripristinare la configurazione dal nodo partner.

Durante il processo di ripristino, il sistema controlla se la crittografia è attivata e determina il tipo di crittografia della chiave in uso. Se la crittografia della chiave è attivata, il sistema guida l'utente attraverso le procedure appropriate per ripristinarla.

Prima di iniziare

  • Determina il tipo di gestore delle chiavi:

    • Onboard Key Manager (OKM): richiede passphrase e dati di backup per l'intero cluster

    • External Key Manager (EKM): richiede i seguenti file dal nodo partner:

      • /cfcard/kmip/servers.cfg

      • /cfcard/kmip/certs/client.crt

      • /cfcard/kmip/certs/client.key

      • /cfcard/kmip/certs/CA.pem

Fasi

  1. Dal prompt LOADER, avviare il processo di ripristino del supporto di avvio:

    boot_recovery -partner

    Sullo schermo viene visualizzato il seguente messaggio:

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Monitorare il processo di ripristino dell'installazione dei supporti di avvio.

    Il processo viene completato e viene visualizzato il Installation complete messaggio.

  3. Il sistema verifica la crittografia e visualizza uno dei seguenti messaggi:

    Se viene visualizzato questo messaggio…​ Eseguire questa operazione…​

    key manager is not configured. Exiting.

    La crittografia non è installata sul sistema.

    1. Attendi che venga visualizzato il prompt di accesso.

    2. Accedi al nodo e restituisci lo storage:

      storage failover giveback -ofnode impaired_node_name

    3. Vai a riattivazione della restituzione automatica se fosse disabilitato.

    key manager is configured.

    La crittografia è installata. Vai aripristino del gestore delle chiavi .
    Nota Se il sistema non riesce a identificare la configurazione del gestore delle chiavi, visualizza un messaggio di errore e chiede di confermare se il gestore delle chiavi è configurato e di che tipo (integrato o esterno). Rispondi alle richieste per procedere.

  1. Ripristinare il gestore delle chiavi utilizzando la procedura appropriata per la propria configurazione:

    Onboard Key Manager (OKM)

    Il sistema visualizza il seguente messaggio e inizia a eseguire l'opzione BootMenu 10:

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. Entra y alla richiesta di conferma di voler avviare il processo di ripristino OKM.

    2. Quando richiesto, immettere la passphrase per la gestione delle chiavi integrate.

    3. Quando richiesto, immettere nuovamente la passphrase per confermare.

    4. Quando richiesto, immettere i dati di backup per il gestore delle chiavi integrato.

      Mostra un esempio di richiesta di passphrase e dati di backup 
      Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

    5. Monitorare il processo di ripristino mentre ripristina i file appropriati dal nodo partner.

      Una volta completato il processo di ripristino, il nodo si riavvia. I seguenti messaggi indicano un ripristino riuscito:

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    6. Dopo il riavvio del nodo, verificare che il sistema sia di nuovo online e operativo.

    7. Riportare la centralina guasta al normale funzionamento restituendo la memoria:

      storage failover giveback -ofnode impaired_node_name

    8. Dopo che il nodo partner è completamente attivo e fornisce dati, sincronizzare le chiavi OKM nel cluster:

      security key-manager onboard sync

      Vai a riattivazione della restituzione automatica se fosse disabilitato.

    Gestore chiavi esterno (EKM)

    Il sistema visualizza il seguente messaggio e inizia a eseguire l'opzione BootMenu 11:

    key manager is configured.
Entering Bootmenu Option 11...

    1. Quando richiesto, immettere le impostazioni di configurazione EKM:

      1. Immettere il contenuto del certificato client da /cfcard/kmip/certs/client.crt file:

        Mostra un esempio di contenuto del certificato client 
        -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

      2. Immettere il contenuto del file chiave client da /cfcard/kmip/certs/client.key file:

        Mostra un esempio di contenuto del file della chiave client 
        -----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

      3. Immettere il contenuto del file CA del server KMIP da /cfcard/kmip/certs/CA.pem file:

        Mostra un esempio del contenuto del file del server KMIP 
        -----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

      4. Immettere il contenuto del file di configurazione del server da /cfcard/kmip/servers.cfg file:

        Mostra un esempio del contenuto del file di configurazione del server 
        xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      5. Se richiesto, immettere l'UUID del cluster ONTAP dal nodo partner. È possibile controllare l'UUID del cluster dal nodo partner utilizzando cluster identify show comando.

        Mostra un esempio di prompt UUID del cluster ONTAP 
        Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

      6. Se richiesto, immettere l'interfaccia di rete temporanea e le impostazioni per il nodo:

        • L'indirizzo IP per la porta

        • La netmask per la porta

        • L'indirizzo IP del gateway predefinito

          Mostra un esempio di richieste di impostazione di rete temporanee 
          In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

    2. Verificare lo stato di ripristino della chiave:

      • Se vedi kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 nell'output, la configurazione EKM è stata ripristinata correttamente. Il processo ripristina i file appropriati dal nodo partner e riavvia il nodo. Procedere al passaggio successivo.

      • Se il ripristino della chiave non riesce, il sistema si blocca e visualizza messaggi di errore e di avviso. Eseguire nuovamente il processo di ripristino dal prompt LOADER: boot_recovery -partner

        Mostrare un esempio di messaggi di errore e di avvertenza relativi al ripristino della chiave 
        ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    3. Dopo il riavvio del nodo, verificare che il sistema sia di nuovo online e operativo.

    4. Riportare il controller al funzionamento normale restituendo lo storage:

      storage failover giveback -ofnode impaired_node_name

      Vai a riattivazione della restituzione automatica se fosse disabilitato.

  1. Se il giveback automatico è stato disattivato, riabilitarlo:

    storage failover modify -node local -auto-giveback true

  2. Se AutoSupport è attivato, ripristinare la creazione automatica dei casi:

    system node autosupport invoke -node * -type all -message MAINT=END

Cosa succederà

Dopo aver ripristinato l'immagine ONTAP e dopo aver attivato e distribuito i dati, si "Restituire la parte guasta a NetApp".