日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オンボード暗号化キーを確認します - AFF A800

障害のあるコントローラをシャットダウンしてオンボード暗号化キーのステータスを確認する前に、障害のあるコントローラのステータスを確認し、自動ギブバックを無効にし、システムで実行されている ONTAP のバージョンを確認する必要があります。

障害のあるコントローラをシャットダウンしてオンボード暗号化キーのステータスを確認する前に、障害のあるコントローラのステータスを確認し、自動ギブバックを無効にして、実行中の ONTAP のバージョンを確認する必要があります。

ノードが 3 つ以上あるクラスタは、クォーラムを構成している必要があります。クラスタがクォーラムを構成していない場合、または正常なコントローラで適格性と正常性について false と表示される場合は、障害のあるコントローラをシャットダウンする前に問題 を修正する必要があります。を参照してください "CLI での NetApp Encryption の概要"

手順
  1. 障害のあるコントローラのステータスを確認します。

    • 障害のあるコントローラがログインプロンプトに表示されている場合は 'admin' としてログインします

    • 障害のあるコントローラが LOADER プロンプトに表示され、 HA 構成の一部である場合は、正常なコントローラに「 admin 」としてログインします。

    • 障害のあるコントローラがスタンドアロン構成で LOADER プロンプトが表示されている場合は、にお問い合わせください "mysupport.netapp.com"

  2. AutoSupport が有効になっている場合は、 AutoSupport メッセージを呼び出してケースの自動作成を抑制します。「 system node AutoSupport invoke -node * -type all -message MAINT=number_OF_hours_downh

    次の AutoSupport メッセージは、ケースの自動作成を 2 時間停止します。 cluster1 : * > system node AutoSupport invoke -node * -type all -message MAINT=2h`

  3. 「 version -v 」コマンドを使用して、障害のあるコントローラ上でシステムが実行している ONTAP のバージョンを確認します。アップしている場合はパートナーコントローラ上で、障害のあるコントローラがダウンしている場合はパートナーコントローラ上で確認します。

    • このコマンドの出力に <lno-DARE> または <1Ono-dARE> が表示される場合は、システムが NVE をサポートしていないので、コントローラのシャットダウンに進みます。

    • コマンドの出力に <lno-DARE> が表示されず、システムで ONTAP 9.5 が実行されている場合は、に進みます [Checking NVE or NSE on systems running ONTAP 9.5 and later]

    • コマンドの出力に <lno-DARE > が表示されず、システムで ONTAP 9.6 以降が実行されている場合は、に進みます [Checking NVE or NSE on systems running ONTAP 9.6 and later]

  4. 障害のあるコントローラが HA 構成の一部である場合は、正常なコントローラからの自動ギブバックを無効にします。 storage failover modify -node local-auto-giveback false または storage failover modify -node local-auto-giveback -after-panic false

オプション 1 : ONTAP 9.5 以前を実行しているシステムで NVE または NSE をチェックする

障害のあるコントローラをシャットダウンする前に、システムで NetApp Volume Encryption ( NVE )または NetApp Storage Encryption ( NSE )が有効になっているかどうかを確認する必要があります。その場合は、設定を確認する必要があります。

手順
  1. 障害のあるコントローラにコンソールケーブルを接続します。

  2. クラスタ内のボリュームに NVE が設定されているかどうかを確認します。 volume show -is-encrypted true

    出力に含まれるボリュームには NVE が設定されているため、 NVE の設定を確認する必要があります。ボリュームが表示されない場合は、 NSE が設定されているかどうかを確認します。

  3. NSE が設定されているかどうかを確認します。「 storage encryption disk show 」

    • モードとキー ID の情報を含むドライブの詳細がコマンド出力に表示される場合は、 NSE が設定されているので、 NSE の設定を確認する必要があります。

    • NVE と NSE が設定されていない場合は、障害のあるコントローラを安全にシャットダウンできます。

NVE の設定を確認する

手順
  1. キー管理サーバに格納されている認証キーのキー ID を表示します。「 securitykey-manager query

    • [Restored (復元) ] 列に [yes] と表示され、すべてのキー管理ツールに [Available] と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

    • [Restored (復元) ] 列に 'yes' 以外の項目が表示される場合、またはいずれかのキー管理ツールに [Unavailable (利用不可) ] と表示される場合は、いくつかの追加手順を実行する必要があります。

    • オンボードキー管理が有効になっている場合にこのコマンドがサポートされませんというメッセージが表示された場合は、他の手順をいくつか実行する必要があります。

  2. [ リストア済み ] カラムに 'yes' 以外のものが表示されている場合 ' または ' キー・マネージャに unavailable と表示されている場合は ' 次の手順を実行します

    1. すべての認証キーと関連キー ID を取得してリストアします: 'securitykey-manager restore-address*

      コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

    1. すべての認証キーについて 'restored' 列に yes と表示され ' すべてのキー・マネージャには Available : 'securitykey-manager query と表示されていることを確認します

    2. 障害のあるコントローラをシャットダウンします。

  3. オンボードキー管理が有効になっているときに「 This command is not supported when onboard key management 」というメッセージが表示された場合は、オンボードキーマネージャに格納されているキーを表示します。「 securitykey-manager key show -detail」

    1. [Restored (リストア済み) ] カラムに 'yes' と表示されている場合は ' オンボード・キー管理情報を手動でバックアップします

      • advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      • コマンドを入力して、 OKM バックアップ情報を表示します:「 securitykey-manager backup show 」

      • バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      • admin モードに戻ります。 'set-priv admin'

      • 障害のあるコントローラをシャットダウンします。

    2. [ リストア済み ] カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

      • key-manager setup ウィザードを実行します: 'securitykey-manager setup -node target/impaired node name

        注記 プロンプトで、お客様のオンボードキー管理のパスフレーズを入力します。パスフレーズを指定できない場合は、にお問い合わせください "mysupport.netapp.com"
      • すべての認証キーに対して 'restored' カラムに yes が表示されていることを確認します 'securitykey-manager key show-detail

      • advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      • コマンドを入力して、 OKM バックアップ情報を表示します:「 securitykey-manager backup show 」

      • バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      • admin モードに戻ります。 'set-priv admin'

      • コントローラは安全にシャットダウンできます。

NSE の設定を確認

手順
  1. キー管理サーバに格納されている認証キーのキー ID を表示します。「 securitykey-manager query

    • [Restored (復元) ] 列に [yes] と表示され、すべてのキー管理ツールに [Available] と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

    • [Restored (復元) ] 列に 'yes' 以外の項目が表示される場合、またはいずれかのキー管理ツールに [Unavailable (利用不可) ] と表示される場合は、いくつかの追加手順を実行する必要があります。

    • オンボードキー管理が有効になっている場合にこのコマンドがサポートされませんというメッセージが表示された場合は、他の手順をいくつか実行する必要があります

  2. [ リストア済み ] カラムに 'yes' 以外のものが表示されている場合 ' または ' キー・マネージャに unavailable と表示されている場合は ' 次の手順を実行します

    1. すべての認証キーと関連キー ID を取得してリストアします: 'securitykey-manager restore-address*

      コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

    1. すべての認証キーについて 'restored' 列に yes と表示され ' すべてのキー・マネージャには Available : 'securitykey-manager query と表示されていることを確認します

    2. 障害のあるコントローラをシャットダウンします。

  3. オンボードキー管理が有効になっているときに「 This command is not supported when onboard key management 」というメッセージが表示された場合は、オンボードキーマネージャに格納されているキーを表示します。「 securitykey-manager key show -detail」

    1. [Restored (復元) ] 列に「 yes 」と表示されている場合は、オンボードキー管理情報を手動でバックアップします。

      • advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      • コマンドを入力して、 OKM バックアップ情報を表示します:「 securitykey-manager backup show 」

      • バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      • admin モードに戻ります。 'set-priv admin'

      • 障害のあるコントローラをシャットダウンします。

    2. [ リストア済み ] カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

      • key-manager setup ウィザードを実行します: 'securitykey-manager setup -node target/impaired node name

        注記 プロンプトで、お客様の OKM パスフレーズを入力します。パスフレーズを指定できない場合は、にお問い合わせください "mysupport.netapp.com"
      • すべての認証キーについて 'restored' 列に yes と表示されていることを確認します

      • advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      • コマンド「 security key-manager backup show 」を入力して、 OKM の情報をバックアップします

        注記 OKM 情報がログファイルに保存されていることを確認してください。この情報は、 OKM を手動でリカバリする必要がある災害シナリオで必要になります。
      • バックアップ情報の内容を別のファイルまたはログにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      • admin モードに戻ります。 'set-priv admin'

      • コントローラは安全にシャットダウンできます。

オプション 2 : ONTAP 9.6 以降を実行しているシステムの NVE または NSE を確認する

障害のあるコントローラをシャットダウンする前に、システムで NetApp Volume Encryption ( NVE )または NetApp Storage Encryption ( NSE )が有効になっているかどうかを確認する必要があります。その場合は、設定を確認する必要があります。

  1. クラスタ内のいずれのボリュームにも NVE が使用されているかどうかを確認します。 volume show -is-encrypted true

    出力に含まれるボリュームには NVE が設定されているため、 NVE の設定を確認する必要があります。ボリュームが表示されない場合は、 NSE が設定されて使用中であるかどうかを確認します。

  2. NSE が構成され ' 使用されているかどうかを確認します storage encryption disk show

    • モードとキー ID の情報を含むドライブの詳細がコマンド出力に表示される場合は、 NSE が設定されているので、 NSE の設定と使用状況を確認する必要があります。

    • ディスクが表示されない場合は、 NSE は設定されません。

    • NVE と NSE が設定されていない場合、 NSE キーでドライブが保護されていないため、障害のあるコントローラを安全にシャットダウンできます。

NVE の設定を確認する

  1. キー管理サーバに格納されている認証キーのキー ID を表示します。「 security key-manager key-query

注記 ONTAP 9.6 リリース以降では、キー管理ツールのタイプが追加されることがあります。タイプは「 KMIP 」、「 AKV 」、「 GCP 」です。これらのタイプを確認するプロセスは 'external' または 'onboard のキー管理タイプを確認するプロセスと同じです
  • 「キー・マネージャ」タイプに「 external 」と表示され、「 Restored 」列に「 yes 」と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

  • 「キー・マネージャ」タイプに「 onboard 」と表示され、「 restored 」列に「 yes 」と表示されている場合は、いくつかの追加手順を実行する必要があります。

  • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

  • 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示されている場合は ' 追加の手順を実行する必要があります

    1. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' と表示されている場合は 'OKM 情報を手動でバックアップします

      1. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      2. コマンドを入力して、キー管理情報「 securitykey-manager onboard show-backup 」を表示します

      3. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      4. admin モードに戻ります。 'set-priv admin'

      5. 障害のあるコントローラをシャットダウンします。

    2. 「キー・マネージャ」タイプに「外部」が表示され、「リストア済み」列に「はい」以外の項目が表示される場合:

      1. 外部キー管理の認証キーをクラスタ内のすべてのノードにリストアします:「 securitykey-manager external restore

        コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

    1. すべての認証キーについて 'restored' カラムが 'yes' になっていることを確認しますつまり 'security key-manager key-query' です

    2. 障害のあるコントローラをシャットダウンします。

      1. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

    3. onboard security key-manager sync コマンド「 security key-manager sync 」を入力します

      注記 プロンプトで、お客様のオンボードキー管理のパスフレーズを入力します。パスフレーズを指定できない場合は、ネットアップサポートにお問い合わせください。 "mysupport.netapp.com"
    4. すべての認証キーについて 'restored' カラムに yes と表示されていることを確認します security key-manager key-query

    5. 「キーマネージャ」タイプに「 onboard 」と表示されていることを確認し、 OKM 情報を手動でバックアップします。

    6. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    7. コマンドを入力して、キー管理バックアップ情報を表示します。「 securitykey-manager onboard show-backup 」

    8. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    9. admin モードに戻ります。 'set-priv admin'

    10. コントローラは安全にシャットダウンできます。

NSE の設定を確認

  1. キー管理サーバに格納されている認証キーのキー ID を表示します。「 security key-manager key-query-key-type NSE-AK

注記 ONTAP 9.6 リリース以降では、キー管理ツールのタイプが追加されることがあります。タイプは「 KMIP 」、「 AKV 」、「 GCP 」です。これらのタイプを確認するプロセスは 'external' または 'onboard のキー管理タイプを確認するプロセスと同じです
  • 「キー・マネージャ」タイプに「 external 」と表示され、「 Restored 」列に「 yes 」と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

  • 「キー・マネージャ」タイプに「 onboard 」と表示され、「 restored 」列に「 yes 」と表示されている場合は、いくつかの追加手順を実行する必要があります。

  • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

  • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

    1. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' と表示されている場合は 'OKM 情報を手動でバックアップします

      1. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

      2. コマンドを入力して、キー管理情報「 securitykey-manager onboard show-backup 」を表示します

      3. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

      4. admin モードに戻ります。 'set-priv admin'

      5. コントローラは安全にシャットダウンできます。

    2. 「キー・マネージャ」タイプに「外部」が表示され、「リストア済み」列に「はい」以外の項目が表示される場合:

      1. onboard security key-manager sync コマンド「 security key-manager external sync 」を入力します

        コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

      1. すべての認証キーについて 'restored' カラムが 'yes' になっていることを確認しますつまり 'security key-manager key-query' です

      2. コントローラは安全にシャットダウンできます。

    3. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

      1. onboard security key-manager sync コマンド「 security key-manager sync 」を入力します

        プロンプトで、お客様のオンボードキー管理のパスフレーズを入力します。パスフレーズを指定できない場合は、ネットアップサポートにお問い合わせください。

    1. すべての認証キーについて 'restored' カラムに yes と表示されていることを確認します security key-manager key-query

    2. 「キーマネージャ」タイプに「 onboard 」と表示されていることを確認し、 OKM 情報を手動でバックアップします。

    3. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    4. コマンドを入力して、キー管理バックアップ情報を表示します。「 securitykey-manager onboard show-backup 」

    5. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    6. admin モードに戻ります。 'set-priv admin'

    7. コントローラは安全にシャットダウンできます。