Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Attivare la crittografia su un volume esistente

Collaboratori
PDF

È possibile utilizzare il volume move start o il volume encryption conversion start per abilitare la crittografia su un volume esistente.

A proposito di questa attività

  • A partire da ONTAP 9.3, è possibile utilizzare volume encryption conversion start comando per abilitare la crittografia di un volume esistente "sul posto", senza dover spostare il volume in una posizione diversa. In alternativa, è possibile utilizzare volume move start comando.

  • Per ONTAP 9,2 e versioni precedenti, è possibile utilizzare solo volume move start per attivare la crittografia spostando un volume esistente.

Attivare la crittografia su un volume esistente con il comando di avvio della conversione della crittografia del volume

A partire da ONTAP 9.3, è possibile utilizzare volume encryption conversion start comando per abilitare la crittografia di un volume esistente "sul posto", senza dover spostare il volume in una posizione diversa.

Dopo aver avviato un'operazione di conversione, è necessario completarla. Se si verificano problemi di prestazioni durante l'operazione, è possibile eseguire volume encryption conversion pause per sospendere l'operazione e il volume encryption conversion resume per riprendere l'operazione.

Nota Non è possibile utilizzare volume encryption conversion start Per convertire un volume SnapLock.
Fasi

  1. Abilitare la crittografia su un volume esistente:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando consente la crittografia sul volume esistente vol1:

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    Il sistema crea una chiave di crittografia per il volume. I dati del volume vengono crittografati.

  2. Verificare lo stato dell'operazione di conversione:

    volume encryption conversion show

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando visualizza lo stato dell'operazione di conversione:

    cluster1::> volume encryption conversion show

Vserver   Volume   Start Time           Status
-------   ------   ------------------   ---------------------------
vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.

  3. Una volta completata l'operazione di conversione, verificare che il volume sia abilitato per la crittografia:

    volume show -is-encrypted true

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando visualizza i volumi crittografati su cluster1:

    cluster1::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Risultato

Se si utilizza un server KMIP per memorizzare le chiavi di crittografia di un nodo, ONTAP “invia automaticamente” una chiave di crittografia al server quando si crittografa un volume.

Attivare la crittografia su un volume esistente con il comando di avvio spostamento volume

È possibile utilizzare volume move start per attivare la crittografia spostando un volume esistente. È necessario utilizzare volume move start In ONTAP 9.2 e versioni precedenti. È possibile utilizzare lo stesso aggregato o un aggregato diverso.

A proposito di questa attività

  • A partire da ONTAP 9.8, è possibile utilizzare volume move start Per attivare la crittografia su un volume SnapLock o FlexGroup.

  • A partire da ONTAP 9.4, se si attiva “cc-mode” quando si imposta il Gestore chiavi integrato, i volumi creati con volume move start i comandi vengono crittografati automaticamente. Non è necessario specificare -encrypt-destination true.

  • A partire da ONTAP 9.6, è possibile utilizzare la crittografia a livello di aggregato per assegnare le chiavi all'aggregato contenente per i volumi da spostare. Un volume crittografato con una chiave univoca è chiamato volume NVE (ovvero utilizza la crittografia del volume NetApp). Un volume crittografato con una chiave a livello di aggregato viene chiamato volume NAE (per NetApp aggregate Encryption). I volumi non in testo normale non sono supportati negli aggregati NAE.

  • A partire da ONTAP 9.14.1, puoi crittografare un volume root di una SVM con NVE. Per ulteriori informazioni, vedere Configurare la crittografia dei volumi NetApp su un volume root della SVM.

Prima di iniziare

Per eseguire questa attività, è necessario essere un amministratore del cluster o un amministratore SVM al quale l'amministratore del cluster ha delegato l'autorità.

"Delega dell'autorizzazione all'esecuzione del comando di spostamento del volume"

Fasi

  1. Spostare un volume esistente e specificare se la crittografia è attivata sul volume:

    Per convertire…​

    Utilizzare questo comando…​

    Un volume non crittografato su un volume NVE

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    Un volume NVE o plaintext su un volume NAE (supponendo che la crittografia a livello di aggregato sia attivata sulla destinazione)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    Un volume NAE su un volume NVE

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    Un volume NAE su un volume non crittografato

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    Un volume NVE su un volume non crittografato

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando converte un volume non crittografato denominato vol1 Su un volume NVE:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    Supponendo che la crittografia a livello di aggregato sia attivata sulla destinazione, il seguente comando converte un volume NVE o non crittografato denominato vol1 Su un volume NAE:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    Il seguente comando converte un volume NAE denominato vol2 Su un volume NVE:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    Il seguente comando converte un volume NAE denominato vol2 su un volume non crittografato:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    Il seguente comando converte un volume NVE denominato vol2 su un volume non crittografato:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false

  2. Visualizzare il tipo di crittografia dei volumi del cluster:

    volume show -fields encryption-type none|volume|aggregate

    Il encryption-type Field è disponibile in ONTAP 9.6 e versioni successive.

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando visualizza il tipo di crittografia dei volumi in cluster2:

    cluster2::> volume show -fields encryption-type

vserver  volume  encryption-type
-------  ------  ---------------
vs1      vol1    none
vs2      vol2    volume
vs3      vol3    aggregate

  3. Verificare che i volumi siano abilitati per la crittografia:

    volume show -is-encrypted true

    Per l'intera sintassi dei comandi, vedere la pagina man relativa al comando.

    Il seguente comando visualizza i volumi crittografati su cluster2:

    cluster2::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
Risultato

Se si utilizza un server KMIP per memorizzare le chiavi di crittografia di un nodo, ONTAP invia automaticamente una chiave di crittografia al server quando si crittografa un volume.