ブートメディア上のイメージをリストアします(ASA A70およびASA A90)。
変更を提案
PDF
ASA A70またはASA A90システムに新しいブートメディアデバイスを取り付けたら、自動ブートメディアリカバリプロセスを開始して、パートナーノードから構成をリストアできます。
リカバリプロセス中に、システムは暗号化が有効になっているかどうかを確認し、使用中のキー暗号化のタイプを判別します。キー暗号化が有効になっている場合は、その暗号化をリストアするための適切な手順が表示されます。
-
OKMを使用するには、OKMパスフレーズファイルの内容が必要です。
-
EKMの場合は、パートナーノードから次のファイルのコピーが必要です。
-
/cfcard/kmip/ servers.cfgファイル。
-
/cfcard/kmip/certs/client.crtファイル。
-
/cfcard/kmip/certs/client.keyファイル。
-
/cfcard/kmip/certs/CA.pemファイル。
-
-
Loaderプロンプトで、次のコマンドを入力します。
boot_recovery -partner画面に次のメッセージが表示されます。
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
ブートメディアのインストールリカバリプロセスを監視します。
プロセスが完了し、メッセージが表示されます
Installation complete。 -
暗号化と暗号化の種類がチェックされ、2つのメッセージのいずれかが表示されます。表示されるメッセージに応じて、次のいずれかの操作を実行します。
システムにキー管理ツールが設定されているかどうかをプロセスで特定できない場合があります。システムでキー管理ツールが設定されているかどうかを確認してから、どのタイプのキー管理ツールが設定されているかを確認するエラーメッセージが表示されます。問題を解決すると、プロセスが再開されます。 構成エラーの検索プロンプトの例を表示します。
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboard表示されるメッセージ 操作 key manager is not configured. Exiting.暗号化がシステムにインストールされていません。次の手順を実行します。
-
ログインプロンプトが表示されたら、ノードにログインし、ストレージをギブバックします。
「 storage failover giveback -ofnode _impaired_node_name _
-
手順5に進み、自動ギブバックを無効にした場合は有効にします。
key manager is configured.手順4に進み、該当するキー管理ツールをリストアします。
ノードはブートメニューにアクセスして次のコマンドを実行します。
-
オプション10:オンボードキーマネージャ(OKM)が搭載されたシステムの場合。
-
オプション11:外部キーマネージャ(EKM)が搭載されたシステムの場合。
-
-
適切なキー管理ツールのリストアプロセスを選択します。
オンボードキーマネージャ( OKM )OKMが検出されると、次のメッセージが表示され、ブートメニューオプション10の実行が開始されます。
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
OKMリカバリプロセスを開始するかどうかを確認するプロンプトでと入力し `Y`ます。
-
プロンプトが表示されたらオンボードキーマネージャのパスフレーズを入力し、プロンプトが表示されたらもう一度パスフレーズを入力して確認のために入力します。
パスフレーズのプロンプトの例を表示します。
Enter the passphrase for onboard key management: Enter the passphrase again to confirm: Enter the backup data: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE-----
-
引き続きリカバリプロセスを監視し、パートナーノードから適切なファイルをリストアします。
リカバリプロセスが完了すると、ノードがリブートします。次のメッセージは、リカバリが成功したことを示します。
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
ノードがリブートしたら、システムがオンラインに戻って動作可能になったことを確認して、ブートメディアのリカバリが成功したことを確認します。
-
障害コントローラのストレージをギブバックして、障害コントローラを通常動作に戻します。
「 storage failover giveback -ofnode _impaired_node_name _
-
パートナーノードが完全に稼働してデータを提供したら、クラスタ全体でOKMキーを同期します。
security key-manager onboard sync
外部キーマネージャ( EKM )EKMが検出されると、次のメッセージが表示され、ブートメニューオプション11の実行が開始されます。
key manager is configured. Entering Bootmenu Option 11...
-
次の手順は、システムで実行しているONTAPのバージョンによって異なります。
システムで実行しているバージョン 操作 ONTAP 9 .16.0
-
を押し `Ctlr-C`てブートメニューオプション11を終了します。
-
を押し `Ctlr-C`てEKM設定プロセスを終了し、ブートメニューに戻ります。
-
ブートメニューオプション8を選択します。
-
ノードをリブートします。
`AUTOBOOT`を設定すると、ノードがリブートし、パートナーノードの構成ファイルを使用します。
が設定されていない場合は
AUTOBOOT、適切なbootコマンドを入力します。ノードがリブートし、パートナーノードの構成ファイルを使用します。 -
EKMがブートメディアパーティションを保護するように、ノードをリブートします。
-
手順cに進みます。
ONTAP 9.16.1
次の手順に進みます。
-
-
プロンプトが表示されたら、次のEKM設定を入力します。
アクション 例 ファイルからクライアント証明書の内容を入力し `/cfcard/kmip/certs/client.crt`ます。
クライアント証明書の内容の例を表示します。
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
ファイルからクライアントキーファイルの内容を入力し `/cfcard/kmip/certs/client.key`ます。
クライアントキーファイルの内容の例を表示します。
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
KMIPサーバCAファイルの内容をファイルから入力し `/cfcard/kmip/certs/CA.pem`ます。
KMIPサーバファイルの内容の例を表示します。
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
ファイルからサーバ構成ファイルの内容を入力し `/cfcard/kmip/servers.cfg`ます。
サーバ構成ファイルの内容の例を表示します。
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
プロンプトが表示されたら、パートナーのONTAPクラスタUUIDを入力します。
ONTAPクラスタUUIDの例を表示します。
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).プロンプトが表示されたら、ノードの一時的なネットワークインターフェイスと設定を入力します。
一時的なネットワーク設定の例を表示します。
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
キーが正常にリストアされたかどうかに応じて、次のいずれかの操作を実行します。
-
EKM設定が正常に復元されると、プロセスはパートナーノードから適切なファイルの復元を試み、ノードをリブートします。手順dに進みます。
成功した9.16.0リストアメッセージの例を表示します。
kmip2_client: Importing keys from external key server: xxx.xxx.xxx.xxx:5696 [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdUtils: [locateMrootAkUuids]:420: Locating local cluster MROOT-AK with keystore UUID: <uuid> [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:79: Calling KMIP Locate for the following attributes: [<x-NETAPP-ClusterId, <uuid>>, <x-NETAPP-KeyUsage, MROOT-AK>, <x-NETAPP-KeystoreUuid, <uuid>>, <x-NETAPP-Product, Data ONTAP>] [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:84: KMIP Locate executed successfully! [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [setUuidList]:50: UUID returned: <uuid> ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 GEOM_ELI: Device nvd0s4.eli created. GEOM_ELI: Encryption: AES-XTS 256 GEOM_ELI: Crypto: software Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:140 MROOT-AK is requested. Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:162 Returning MROOT-AK.
成功した9.16.1リストアメッセージの例を表示します。
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=] ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:xxxx Successfully recovered keymanager secrets.
-
キーが正常にリストアされないと、システムは停止し、キーをリストアできなかったことを示します。エラーと警告メッセージが表示されます。リカバリプロセスを再実行します。
boot_recovery -partner
キーリカバリのエラーおよび警告メッセージの例を示します。
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
ノードがリブートしたら、システムがオンラインに戻って動作可能になったことを確認して、ブートメディアのリカバリが成功したことを確認します。
-
コントローラのストレージをギブバックして、コントローラを通常動作に戻します。
「 storage failover giveback -ofnode _impaired_node_name _
-
-
自動ギブバックを無効にした場合は、再度有効にします。
storage failover modify -node local -auto-giveback true -
AutoSupportが有効になっている場合は、ケースの自動作成をリストアします。
system node autosupport invoke -node * -type all -message MAINT=END
ONTAPイメージをリストアしたあと、ノードが稼働してデータを提供できるよう"故障した部品をNetAppに返却します。"になります。