ストレージ暗号化用の外部キー管理サーバの IP アドレスを取得します
アップグレード後は、すぐにストレージ暗号化を設定し、クラスタ全体の認証キーを確立して、以前のノードレベルの認証キーを置き換える必要があります。
-
キー管理サーバとの通信に必要なクライアントおよびサーバの Secure Sockets Layer ( SSL )証明書をインストールします。
「セキュリティ証明書のインストール」
-
各ノードで次のコマンドを使用して、すべてのノードでストレージ暗号化を設定します。
「 security key-manager external enable 」と入力します
-
各キー管理サーバの IP アドレスを追加します。
「 security key-manager external add-servers -key-servers key_management_server_ip_address 」のように設定します
-
クラスタ内のすべてのノードで同じキー管理サーバが設定され使用可能になっていることを確認します。
「 security key-manager external show-status 」
-
クラスタ全体の新しい認証キーを作成します。
「 security key-manager key create 」をクリックします
-
新しい認証キー ID をメモします。
-
すべての自己暗号化ドライブのキーを新しい認証キーに変更します。
「 storage encryption disk modify -disk * -data-key-id <authentication_key_id>` 」
KMIP サーバを使用して認証を管理します
ONTAP 9.8 以降では、 Key Management Interoperability Protocol ( KMIP )サーバを使用して認証キーを管理できます。
-
新しいコントローラを追加します。
「 security key-manager external enable 」と入力します
-
キー管理ツールを追加します。
「 security key-manager external add-servers -key-servers key_management_server_ip_address 」のように設定します
-
キー管理サーバが設定され、クラスタ内のすべてのノードで使用できることを確認します。
「 security key-manager external show-status 」
-
リンクされたすべてのキー管理サーバの認証キーを新しいノードにリストアします。
'security key-manager external restore -node new_controller_name'
-
すべての自己暗号化ディスクのキーを新しい認証キーに変更します。
'storage encryption disk modify -disk * [-data-key-id nonMSID AK
-
連邦情報処理標準( FIPS )を使用する場合は、すべての自己暗号化ディスクのキーを新しい認証キーに変更してください。
storage encryption disk modify -disk * [-fips-key-id nonMSID AK
オンボードキーマネージャを使用してストレージ暗号化を管理します
OKM は暗号キーを管理できます。OKM を使用する場合は、アップグレードを開始する前にパスフレーズとバックアップ資料を記録しておく必要があります。
-
パスフレーズを安全な場所に保存します。
-
リカバリ用のバックアップを作成します。次のコマンドを実行して出力を保存します。
「 securitykey manager onboard show-backup 」を参照してください
SnapMirror 関係を休止します(オプション)。
手順を続行する前に、すべての SnapMirror 関係が休止状態になっていることを確認する必要があります。休止された SnapMirror 関係は、リブート後およびフェイルオーバー後も休止状態のままです。
-
デスティネーションクラスタの SnapMirror 関係のステータスを確認します。
「 Snapmirror show 」のように表示されます
このステータスが「 Transferring 」の場合は、転送を中止する必要があります。 snapmirror abort -destination-path vserver <vserver_name>`
SnapMirror 関係の状態が「 Transferring 」でない場合は、中止は失敗します。
-
クラスタ間のすべての関係を休止します。
snapmirror quiesce -destination-path vserver <vserver_name>`