Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

パートナーノードからの自動ブートメディアリカバリ - AFF A70およびAFF A90

共同作成者 netapp-lisa
PDF

AFF A70またはAFF A90ストレージシステムに新しいブートメディアデバイスをインストールしたら、自動ブートメディアリカバリプロセスを開始して、パートナーノードから設定を復元できます。リカバリプロセス中、システムは暗号化が有効になっているかどうかを確認し、使用されているキー暗号化の種類を判別します。キー暗号化が有効になっている場合は、復元するための適切な手順がシステムによって案内されます。

自動ブートメディアリカバリプロセスは、 ONTAP 9.17.1以降でのみサポートされています。ストレージシステムで以前のバージョンのONTAPを実行している場合は、 "手動ブート回復手順"

作業を開始する前に

  • OKM の場合、クラスター全体のパスフレーズとバックアップ データも必要です。

  • EKMの場合は、パートナーノードから次のファイルのコピーが必要です。

    • /cfcard/kmip/ servers.cfgファイル。

    • /cfcard/kmip/certs/client.crtファイル。

    • /cfcard/kmip/certs/client.keyファイル。

    • /cfcard/kmip/certs/CA.pemファイル。

手順

  1. Loaderプロンプトで、次のコマンドを入力します。

    boot_recovery -partner

    画面に次のメッセージが表示されます。

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. ブートメディアのインストールリカバリプロセスを監視します。

    プロセスが完了し、メッセージが表示されます Installation complete

  3. 暗号化と暗号化の種類がチェックされ、2つのメッセージのいずれかが表示されます。表示されるメッセージに応じて、次のいずれかの操作を実行します。

    重要 システムにキー管理ツールが設定されているかどうかをプロセスで特定できない場合があります。システムでキー管理ツールが設定されているかどうかを確認してから、どのタイプのキー管理ツールが設定されているかを確認するエラーメッセージが表示されます。問題を解決すると、プロセスが再開されます。
    構成エラーの検索プロンプトの例を表示します。 
    Error when fetching key manager config from partner ${partner_ip}: ${status}

Has key manager been configured on this system

Is the key manager onboard
    表示されるメッセージ 操作

    key manager is not configured. Exiting.

    暗号化がシステムにインストールされていません。次の手順を実行します。

    1. ログインプロンプトが表示されたら、ノードにログインし、ストレージをギブバックします。

      「 storage failover giveback -ofnode _impaired_node_name _

    2. 手順5に進み、自動ギブバックを無効にした場合は有効にします。

    key manager is configured.

    手順4に進み、該当するキー管理ツールをリストアします。

    ノードはブート メニューにアクセスし、次を実行します。

    • オプション10:オンボードキーマネージャ(OKM)が搭載されたシステムの場合。

    • オプション11:外部キーマネージャ(EKM)が搭載されたシステムの場合。

  4. 適切なキー管理ツールのリストアプロセスを選択します。

    オンボードキーマネージャ( OKM )

    OKMが検出されると、次のメッセージが表示され、ブートメニューオプション10の実行が開始されます。

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. OKMリカバリプロセスを開始するかどうかを確認するプロンプトでと入力し `Y`ます。

    2. プロンプトが表示されたら、次のように入力します。

      1. パスフレーズ

      2. 確認を求められたらパスフレーズをもう一度入力してください

      3. オンボードキーマネージャーのバックアップデータ

        パスフレーズとバックアップデータのプロンプトの例を示す 
        Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

    3. 引き続きリカバリプロセスを監視し、パートナーノードから適切なファイルをリストアします。

      リカバリプロセスが完了すると、ノードがリブートします。次のメッセージは、リカバリが成功したことを示します。

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    4. ノードがリブートしたら、システムがオンラインに戻って動作可能になったことを確認して、ブートメディアのリカバリが成功したことを確認します。

    5. 障害コントローラのストレージをギブバックして、障害コントローラを通常動作に戻します。

      「 storage failover giveback -ofnode _impaired_node_name _

    6. パートナーノードが完全に稼働してデータを提供したら、クラスタ全体でOKMキーを同期します。

      security key-manager onboard sync

    外部キーマネージャ( EKM )

    EKMが検出されると、次のメッセージが表示され、ブートメニューオプション11の実行が開始されます。

    key manager is configured.
Entering Bootmenu Option 11...

    1. 次の手順は、システムで実行しているONTAPのバージョンによって異なります。

      システムで実行しているバージョン 操作

      ONTAP 9 .16.0

      1. を押し `Ctlr-C`てブートメニューオプション11を終了します。

      2. を押し `Ctlr-C`てEKM設定プロセスを終了し、ブートメニューに戻ります。

      3. ブートメニューオプション8を選択します。

      4. ノードをリブートします。

        `AUTOBOOT`を設定すると、ノードがリブートし、パートナーノードの構成ファイルを使用します。

        が設定されていない場合は AUTOBOOT、適切なbootコマンドを入力します。ノードがリブートし、パートナーノードの構成ファイルを使用します。

      5. EKMがブートメディアパーティションを保護するように、ノードをリブートします。

      6. 手順cに進みます。

      ONTAP 9.16.1以降

      次の手順に進みます。

    2. プロンプトが表示されたら、次のEKM設定を入力します。

      アクション

      ファイルからクライアント証明書の内容を入力し `/cfcard/kmip/certs/client.crt`ます。
      クライアント証明書の内容の例を表示します。 
      -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

      ファイルからクライアントキーファイルの内容を入力し `/cfcard/kmip/certs/client.key`ます。
      クライアントキーファイルの内容の例を表示します。 
      -----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

      KMIPサーバCAファイルの内容をファイルから入力し `/cfcard/kmip/certs/CA.pem`ます。
      KMIPサーバファイルの内容の例を表示します。 
      -----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

      ファイルからサーバ構成ファイルの内容を入力し `/cfcard/kmip/servers.cfg`ます。
      サーバ構成ファイルの内容の例を表示します。 
      xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      プロンプトが表示されたら、パートナーのONTAPクラスタUUIDを入力します。

      パートナーノードからクラスタUUIDを確認するには、 `cluster identify show`指示。
      ONTAPクラスタUUIDの例を表示します。 
      Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

      プロンプトが表示されたら、ノードの一時的なネットワークインターフェイスと設定を入力します。

      入力する必要があるもの:

      1. ポートのIPアドレス

      2. ポートのネットマスク

      3. デフォルトゲートウェイのIPアドレス
      一時的なネットワーク設定の例を表示します。 
      In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

    3. キーが正常にリストアされたかどうかに応じて、次のいずれかの操作を実行します。

      • もしあなたが `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`出力では、EKM 構成が正常に復元されたことが示されています。

        このプロセスは、パートナー ノードから適切なファイルを復元し、ノードを再起動しようとします。手順dに進みます。

      • キーが正常に復元されなかった場合、システムは停止し、キーを復元できなかったことが示されます。エラーおよび警告メッセージが表示されます。回復プロセスを再実行する必要があります。

        boot_recovery -partner

      キーリカバリのエラーおよび警告メッセージの例を示します。 
      ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    4. ノードがリブートしたら、システムがオンラインに戻って動作可能になったことを確認して、ブートメディアのリカバリが成功したことを確認します。

    5. コントローラのストレージをギブバックして、コントローラを通常動作に戻します。

      「 storage failover giveback -ofnode _impaired_node_name _

  5. 自動ギブバックを無効にした場合は、再度有効にします。

    storage failover modify -node local -auto-giveback true

  6. AutoSupportが有効になっている場合は、ケースの自動作成をリストアします。

    system node autosupport invoke -node * -type all -message MAINT=END

次の手順

ONTAPイメージをリストアしたあと、ノードが稼働してデータを提供できるよう"故障した部品をNetAppに返却します。"になります。