La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i server delle chiavi esterne in cluster in ONTAP

12/10/2024 Collaboratori

PDF

A partire da ONTAP 9.11.1, è possibile configurare la connettività ai server di gestione delle chiavi esterni in cluster su una SVM. Con i key server in cluster, è possibile designare i key server primari e secondari su una SVM. Durante la registrazione delle chiavi, ONTAP tenta innanzitutto di accedere a un server principale prima di tentare di accedere in sequenza ai server secondari fino al completamento dell'operazione, evitando la duplicazione delle chiavi.

I Key server esterni possono essere utilizzati per le chiavi NSE, NVE, NAE e SED. Una SVM può supportare fino a quattro server KMIP esterni primari. Ciascun server primario può supportare fino a tre server secondari per le chiavi.

Prima di iniziare

"La gestione delle chiavi di KMIP deve essere abilitata per la SVM".
Questo processo supporta solo i server chiave che utilizzano KMIP. Per un elenco dei server delle chiavi supportati, consultare "Tool di matrice di interoperabilità NetApp".
Tutti i nodi del cluster devono eseguire ONTAP 9.11.1 o versione successiva.
L'ordine dei server elenca gli argomenti in -secondary-key-servers Il parametro riflette l'ordine di accesso dei server KMIP (gestione delle chiavi esterne).
Ottenere ulteriori informazioni sui comandi descritti in questa procedura nel "Riferimento comando ONTAP."

Creare un server di chiavi in cluster

La procedura di configurazione dipende dal fatto che sia stato configurato o meno un server di chiavi primario.

Aggiunta di server di chiavi primari e secondari a una SVM

Verificare che non sia stata attivata alcuna gestione delle chiavi per il cluster:
security key-manager external show -vserver svm_name
Se SVM ha già attivato un massimo di quattro server principali, è necessario rimuovere uno dei server principali esistenti prima di aggiungerne uno nuovo.
Attivare il gestore delle chiavi primario:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
Modificare il server delle chiavi primario per aggiungere i server delle chiavi secondari. Il -secondary-key-servers parameter accetta un elenco separato da virgole di un massimo di tre server chiave.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

Aggiungere i server di chiavi secondari a un server di chiavi primario esistente

Modificare il server delle chiavi primario per aggiungere i server delle chiavi secondari. Il -secondary-key-servers parameter accetta un elenco separato da virgole di un massimo di tre server chiave.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
Per ulteriori informazioni sui server di chiavi secondari, vedere [mod-secondary].

Modificare i server delle chiavi in cluster

È possibile modificare i cluster di Key Server esterni modificando lo stato (primario o secondario) di determinati Key Server, aggiungendo e rimuovendo i Key Server secondari o modificando l'ordine di accesso dei Key Server secondari.

Convertire i server chiavi primari e secondari

Per convertire un server di chiavi primario in un server di chiavi secondario, è necessario prima rimuoverlo dalla SVM con security key-manager external remove-servers comando.

Per convertire un server chiavi secondario in un server chiavi primario, è necessario prima rimuovere il server chiavi secondario dal server chiavi primario esistente. Vedere [mod-secondary]. Se si converte un server chiavi secondario in un server primario durante la rimozione di una chiave esistente, il tentativo di aggiungere un nuovo server prima di completare la rimozione e la conversione può comportare la duplicazione delle chiavi.

Modificare i server chiavi secondari

I server di chiavi secondari vengono gestiti con -secondary-key-servers del parametro security key-manager external modify-server comando. Il -secondary-key-servers parameter accetta un elenco separato da virgole. L'ordine specificato dei server di chiavi secondari nell'elenco determina la sequenza di accesso per i server di chiavi secondari. L'ordine di accesso può essere modificato eseguendo il comando security key-manager external modify-server con i server di chiavi secondari inseriti in una sequenza diversa.

Per rimuovere un server di chiavi secondario, la -secondary-key-servers gli argomenti devono includere i server chiave che si desidera conservare mentre si omette quello da rimuovere. Per rimuovere tutti i server di chiavi secondari, utilizzare l'argomento -, non significa nessuno.

Ulteriori informazioni sul comando security key-manager external nel riferimento comandi ONTAP.