Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i server delle chiavi esterne in cluster in ONTAP

Collaboratori netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDF

A partire da ONTAP 9.11.1, è possibile configurare la connettività ai server di gestione delle chiavi esterne in cluster su una SVM. Con i server chiave in cluster, è possibile designare server chiave primari e secondari su una SVM. Durante la registrazione o il recupero delle chiavi, ONTAP tenta innanzitutto di accedere al server delle chiavi primarie, prima di tentare in sequenza di accedere ai server secondari, finché l'operazione non viene completata correttamente.

È possibile utilizzare server di chiavi esterni per le chiavi NetApp Storage Encryption (NSE), NetApp Volume Encryption (NVE) e NetApp Aggregate Encryption (NAE). Una SVM può supportare fino a quattro server KMIP esterni primari. Ogni server primario può supportare fino a tre server chiave secondari.

A proposito di questa attività
Prima di iniziare

Creare un server di chiavi in cluster

La procedura di configurazione dipende dal fatto che sia stato configurato o meno un server di chiavi primario.

Aggiunta di server di chiavi primari e secondari a una SVM
Fasi

  1. Verificare che non sia stata abilitata alcuna gestione delle chiavi per il cluster (SVM di amministrazione):

    security key-manager external show -vserver <svm_name>

    Se l'SVM ha già abilitato il massimo di quattro server chiave primaria, è necessario rimuovere uno dei server chiave primaria esistenti prima di aggiungerne uno nuovo.

  2. Abilita il gestore delle chiavi primarie:

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • Se non si specifica una porta nel -key-servers parametro, viene utilizzata la porta predefinita 5696.

      Nota Se stai eseguendo il security key-manager external enable comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster. NetApp consiglia vivamente di utilizzare gli stessi server chiave su entrambi i cluster.

  3. Modificare il server delle chiavi primarie per aggiungere server delle chiavi secondarie. IL -secondary-key-servers il parametro accetta un elenco separato da virgole di un massimo di tre server chiave:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • Non includere un numero di porta per i server chiave secondari nel -secondary-key-servers parametro. Utilizza lo stesso numero di porta del server della chiave primaria.

      Nota Se stai eseguendo il security key-manager external comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster. NetApp consiglia vivamente di utilizzare gli stessi server chiave su entrambi i cluster.
Aggiungere i server di chiavi secondari a un server di chiavi primario esistente
Fasi

  1. Modificare il server delle chiavi primarie per aggiungere server delle chiavi secondarie. IL -secondary-key-servers il parametro accetta un elenco separato da virgole di un massimo di tre server chiave:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • Non includere un numero di porta per i server chiave secondari nel -secondary-key-servers parametro. Utilizza lo stesso numero di porta dei server delle chiavi primarie.

      Nota Se stai eseguendo il security key-manager external modify-server comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster. NetApp consiglia vivamente di utilizzare gli stessi server chiave su entrambi i cluster.

Per ulteriori informazioni sui server di chiavi secondarie, vedere [mod-secondary].

Modificare i server delle chiavi in cluster

È possibile modificare i server di chiavi esterni in cluster aggiungendo e rimuovendo server di chiavi secondari, modificando l'ordine di accesso dei server di chiavi secondari o modificando la designazione (primaria o secondaria) di determinati server di chiavi. Se si modificano i server chiave esterni in cluster in una configurazione MetroCluster , NetApp consiglia vivamente di utilizzare gli stessi server chiave su entrambi i cluster.

Modificare i server chiavi secondari

Utilizzare il parametro -secondary-key-servers del comando security key-manager external modify-server per gestire i server a chiave secondaria. IL -secondary-key-servers il parametro accetta un elenco separato da virgole. L'ordine specificato dei server delle chiavi secondarie nell'elenco determina la sequenza di accesso per i server delle chiavi secondarie. È possibile modificare l'ordine di accesso eseguendo il comando security key-manager external modify-server con i server di chiavi secondari inseriti in una sequenza diversa. Non includere un numero di porta per i server chiave secondari.

Nota Se stai eseguendo il security key-manager external modify-server comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster.

Per rimuovere un server di chiavi secondario, includi i server di chiavi che desideri mantenere nel -secondary-key-servers parametro e ometti quello che vuoi rimuovere. Per rimuovere tutti i server di chiavi secondarie, utilizzare l'argomento - , che significa nessuno.

Convertire i server chiavi primari e secondari

È possibile utilizzare i seguenti passaggi per modificare la designazione (primaria o secondaria) di specifici server chiave.

Convertire un server di chiavi primarie in un server di chiavi secondarie
Fasi

  1. Rimuovere il server della chiave primaria dall'SVM:

    security key-manager external remove-servers

    Nota Se stai eseguendo il security key-manager external remove-servers comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster.

  2. Eseguire ilCreare un server di chiavi in cluster procedura che utilizza il precedente server di chiavi primarie come server di chiavi secondarie.

Convertire un server di chiavi secondario in un server di chiavi primario
Fasi

  1. Rimuovere il server delle chiavi secondario dal suo server delle chiavi primario esistente:

    security key-manager external modify-server -secondary-key-servers

  • Se stai eseguendo il security key-manager external modify-server -secondary-key-servers comando per l'SVM di amministrazione in una configurazione MetroCluster , è necessario eseguire il comando su entrambi i cluster. Se si esegue il comando per una singola SVM di dati, non è necessario eseguirlo su entrambi i cluster.

  • Se si converte un server di chiavi secondario in un server di chiavi primario rimuovendo un server di chiavi esistente, il tentativo di aggiungere un nuovo server di chiavi prima di completare la rimozione e la conversione può causare la duplicazione delle chiavi.

  1. Eseguire ilCreare un server di chiavi in cluster procedura che utilizza il precedente server di chiavi secondario come server di chiavi primario del nuovo server di chiavi in cluster.

Fare riferimento a[mod-secondary] per maggiori informazioni.

Informazioni correlate