OKM、NSE、NVE - ASA A150のリストア
環境変数を確認したら、オンボードキーマネージャ( OKM )、 NetApp Storage Encryption ( NSE )、または NetApp Volume Encryption ( NVE )が有効になっているシステムに固有の手順を実行する必要があります。
OKM 、 NSE 、または NVE 構成をリストアするために使用するセクションを決定します。
NSE または NVE がオンボードキーマネージャとともに有効になっている場合は、この手順の最初に取得した設定をリストアする必要があります。
-
NSE または NVE が有効で、オンボードキーマネージャが有効になっている場合は、に進みます オプション 1 :オンボードキーマネージャが有効な場合は、 NVE または NSE をリストアする。
-
ONATP 9.5 で NSE または NVE が有効になっている場合は、に進みます オプション 2 : ONTAP 9.5 以前を実行しているシステムで NSE / NVE をリストアする。
-
ONTAP 9.6 に対して NSE または NVE が有効になっている場合は、に進みます オプション 3 : ONTAP 9.6 以降を実行しているシステムで NSE / NVE をリストアする。
オプション 1 :オンボードキーマネージャが有効な場合は、 NVE または NSE をリストアする
-
コンソールケーブルをターゲットコントローラに接続します。
-
LOADER プロンプトで「 boot_ontap 」コマンドを使用して、コントローラをブートします。
-
コンソールの出力を確認します。
* と表示されます * 次に … * LOADER プロンプト
コントローラをブートメニュー「 boot_ontap menu 」からブートします
ギブバックを待っています
-
プロンプトで「 Ctrl+C 」と入力します
-
というメッセージが表示されたら、 [y/n] を待たずにこのコントローラを停止しますか?「 y 」と入力します
-
LOADER プロンプトで「 boot_ontap menu 」コマンドを入力します。
-
-
ブート・メニューで ' 非表示のコマンド 'recover_onboard keymanager_' を入力し ' プロンプトで y と応答します
-
この手順の冒頭でお客様から入手したオンボードキーマネージャのパスフレーズを入力します。
-
バックアップ・データの入力を求められたら、この手順の最初にキャプチャしたバックアップ・データを貼り付けます。security key-manager backup show コマンドまたは security key-manager onboard show-backup コマンドの出力を貼り付けます。
データは 'securitykey-manager backup show または 'securitykey-manager onboard show-backup' コマンドから出力されます バックアップデータの例:
-------------- バックアップの開始 TmV0QXBwIEISELAALAC6AALAG3ATVATLH1DBZ12piVATVZ4ATLASYFSSAJAXAJAXAZAAALAC6AALACBAALAC6AALACZAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADDAAAAAAAAAAAAAAAAAAAADDAAAAAAAAAAAAAAAAADATAAAAADAAAAAAADADAAAAAAAAAADAAAAAAAAAAADAAAAAADAAAAAADAAAAAADAAAADAAAADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADADAAAADAAAADAAAAA。。。H4nPQM0nrDRYAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
-------------- エンド・バックアップ:
-
ブートメニューで、 Normal Boot のオプションを選択します。
システムが「 Waiting for giveback… 」プロンプトでブートします。
-
パートナーコントローラにコンソールケーブルを接続し、 admin としてログインします。
-
storage failover show コマンドを使用して ' ターゲット・コントローラがギブバック可能な状態になっていることを確認します
-
storage failover giveback '-fromnode local-only -cfo-aggregates true コマンドを使用して CFO アグリゲートだけをギブバックします
-
ディスク障害のためにコマンドが失敗した場合は、ディスクを物理的に取り外します。ただし、交換用のディスクを受け取るまでは、ディスクをスロットに残しておきます。
-
CIFS セッションが開いているためにコマンドが失敗する場合は、 CIFS セッションを閉じる方法をお客様に確認します。
CIFS を終了原因すると、データが失われる可能性があります。 -
パートナーの準備が完了していないためにコマンドが失敗した場合は、 NVMEM が同期されるまで 5 分待ちます。
-
NDMP 、 SnapMirror 、または SnapVault のプロセスが原因でコマンドが失敗する場合は、そのプロセスを無効にします。詳細については、該当するドキュメントセンターを参照してください。
-
-
ギブバックが完了したら 'storage failover show' および storage failover show-giveback コマンドを使用して ' フェイルオーバーとギブバックのステータスを確認します
CFO アグリゲート(ルートアグリゲートおよび CFO 形式のデータアグリゲート)のみが表示されます。
-
コンソールケーブルをターゲットコントローラに接続します。
-
ONTAP 9.5 以前を実行している場合は、 key-manager setup ウィザードを実行します。
-
「 securitykey-manager setup -nodename` 」コマンドを使用してウィザードを起動し、プロンプトが表示されたらオンボードキー管理のパスフレーズを入力します。
-
'key-manager key show-detail' コマンドを入力して ' オンボード・キー・マネージャに格納されているすべてのキーの詳細を表示し ' すべての認証キーについて 'restored`column=yes を確認します
「 Restored 」列が「 yes 」以外の場合は、カスタマサポートにお問い合わせください。 -
キーがクラスタ全体で同期されるまで 10 分待ちます。
-
-
ONTAP 9.6 以降を実行している場合:
-
「 securitykey-manager onboard sync 」コマンドを実行し、プロンプトが表示されたらパスフレーズを入力します。
-
「 securitykey-manager key query 」コマンドを入力して、オンボードキーマネージャに格納されているすべてのキーの詳細を表示し、すべての認証キーの「 restored 」列 = 「 yes / true 」であることを確認します。
「 Restored 」列が「 yes/true 」以外の場合は、カスタマサポートにお問い合わせください。 -
キーがクラスタ全体で同期されるまで 10 分待ちます。
-
-
パートナーコントローラにコンソールケーブルを接続します。
-
storage failover giveback -fromnode local コマンドを使用して、ターゲットコントローラをギブバックします。
-
「 storage failover show 」コマンドを使用して、ギブバックのステータスを確認します。このステータスは、レポートが完了してから 3 分後に表示されます。
20 分経ってもギブバックが完了しない場合は、カスタマーサポートにお問い合わせください。
-
クラスタシェルプロンプトで、「 net int show -is-home false 」コマンドを入力し、ホームコントローラとポートにない論理インターフェイスを表示します。
インターフェイスがと表示されている場合
false`を使用して、それらのインターフェイスをホームポートにリバートします `net int revert -vserver Cluster -lif nodename
コマンドを実行します -
コンソール・ケーブルをターゲット・コントローラに移動し 'version -v コマンドを実行して ONTAP のバージョンを確認します
-
「 storage failover modify -node local-auto-giveback true 」コマンドを使用して自動ギブバックを無効にした場合は、自動ギブバックをリストアします。
オプション 2 : ONTAP 9.5 以前を実行しているシステムで NSE / NVE をリストアする
-
コンソールケーブルをターゲットコントローラに接続します。
-
LOADER プロンプトで「 boot_ontap 」コマンドを使用して、コントローラをブートします。
-
コンソールの出力を確認します。
* と表示されます * 次に … * ログインプロンプト
手順 7 に進みます。
ギブバックを待っています
-
パートナーコントローラにログインします。
-
storage failover show コマンドを使用して ' ターゲット・コントローラがギブバック可能な状態になっていることを確認します
-
-
コンソール・ケーブルをパートナー・コントローラに移動し ' storage failover giveback -fromnode local-only CFO -aggregates true local コマンドを使用してターゲット・コントローラ・ストレージをギブバックします
-
ディスク障害のためにコマンドが失敗した場合は、ディスクを物理的に取り外します。ただし、交換用のディスクを受け取るまでは、ディスクをスロットに残しておきます。
-
CIFS セッションが開いているためにコマンドが失敗する場合は、 CIFS セッションを閉じる方法をお客様に確認してください。
CIFS を終了原因すると、データが失われる可能性があります。 -
パートナーの「準備が完了していません」が原因でコマンドが失敗した場合は、 NVMEM が同期されるまで 5 分待ちます。
-
NDMP 、 SnapMirror 、または SnapVault のプロセスが原因でコマンドが失敗する場合は、そのプロセスを無効にします。詳細については、該当するドキュメントセンターを参照してください。
-
-
3 分待ってから、「 storage failover show 」コマンドを使用してフェイルオーバーステータスを確認します。
-
クラスタシェルプロンプトで、「 net int show -is-home false 」コマンドを入力し、ホームコントローラとポートにない論理インターフェイスを表示します。
インターフェイスがと表示されている場合
false`を使用して、それらのインターフェイスをホームポートにリバートします `net int revert -vserver Cluster -lif nodename
コマンドを実行します -
コンソール・ケーブルをターゲット・コントローラに移動し 'version -v コマンドを実行して ONTAP のバージョンを確認します
-
「 storage failover modify -node local-auto-giveback true 」コマンドを使用して自動ギブバックを無効にした場合は、自動ギブバックをリストアします。
-
クラスタシェルプロンプトで「 storage encryption disk show 」を使用して出力を確認します。
NVE ( NetApp Volume Encryption )が設定されている場合、このコマンドは機能しません -
security key-manager query を使用して、キー管理サーバに格納されている認証キーのキー ID を表示します。
-
「 Restored 」列が「 yes 」であり、すべてのキー管理ツールが「 available 」状態でレポートする場合は、「 complete the replacement process 」に進みます。
-
「 Restored 」列が「 yes 」以外のもので、 1 つまたは複数のキー管理ツールが使用できない場合は、「 securitykey-manager restore-address 」コマンドを使用して、使用可能なすべてのキー管理サーバからすべてのノードに関連付けられた AK およびキー ID を取得およびリストアします。
security key-manager query の出力を再度チェックして 'restored' カラム = 'yes' およびすべてのキー管理ツールが Available 状態でレポートされていることを確認します
-
-
オンボードキー管理が有効になっている場合:
-
「 securitykey-manager key show -detail 」を使用して、オンボードキーマネージャに格納されているすべてのキーの詳細を表示します。
-
「 securitykey-manager key show -detail` コマンドを使用して、すべての認証キーの「 restored 」列 = 「 yes 」であることを確認します。
「 Restored 」列が「 yes 」以外の場合は、「 securitykey-manager setup -node repaired _ ( Target ) _node 」コマンドを使用して、オンボードキー管理の設定を復元します。すべての認証キーについて 'securitykey-manager key show -detail` コマンドを再実行して 'restored`column=yes を確認します
-
-
パートナーコントローラにコンソールケーブルを接続します。
-
storage failover giveback -fromnode local コマンドを使用して、コントローラをギブバックします。
-
「 storage failover modify -node local-auto-giveback true 」コマンドを使用して自動ギブバックを無効にした場合は、自動ギブバックをリストアします。
オプション 3 : ONTAP 9.6 以降を実行しているシステムで NSE / NVE をリストアする
-
コンソールケーブルをターゲットコントローラに接続します。
-
LOADER プロンプトで「 boot_ontap 」コマンドを使用して、コントローラをブートします。
-
コンソールの出力を確認します。
コンソールに表示される内容 作業 ログインプロンプト
手順 7 に進みます。
ギブバックを待っています
-
パートナーコントローラにログインします。
-
storage failover show コマンドを使用して ' ターゲット・コントローラがギブバック可能な状態になっていることを確認します
-
-
コンソール・ケーブルをパートナー・コントローラに移動し ' storage failover giveback -fromnode local-only CFO -aggregates true local コマンドを使用してターゲット・コントローラ・ストレージをギブバックします
-
ディスク障害のためにコマンドが失敗した場合は、ディスクを物理的に取り外します。ただし、交換用のディスクを受け取るまでは、ディスクをスロットに残しておきます。
-
CIFS セッションが開いているためにコマンドが失敗する場合は、 CIFS セッションを閉じる方法をお客様に確認します。
CIFS を終了原因すると、データが失われる可能性があります。 -
パートナーの準備が完了していないためにコマンドが失敗した場合は、 NVMEM が同期されるまで 5 分待ちます。
-
NDMP 、 SnapMirror 、または SnapVault のプロセスが原因でコマンドが失敗する場合は、そのプロセスを無効にします。詳細については、該当するドキュメントセンターを参照してください。
-
-
3 分待ってから、「 storage failover show 」コマンドを使用してフェイルオーバーステータスを確認します。
-
クラスタシェルプロンプトで、「 net int show -is-home false 」コマンドを入力し、ホームコントローラとポートにない論理インターフェイスを表示します。
インターフェイスがと表示されている場合
false`を使用して、それらのインターフェイスをホームポートにリバートします `net int revert -vserver Cluster -lif nodename
コマンドを実行します -
コンソール・ケーブルをターゲット・コントローラに移動し 'version -v コマンドを実行して ONTAP のバージョンを確認します
-
「 storage failover modify -node local-auto-giveback true 」コマンドを使用して自動ギブバックを無効にした場合は、自動ギブバックをリストアします。
-
クラスタシェルプロンプトで「 storage encryption disk show 」を使用して出力を確認します。
-
「 securitykey-manager key query 」コマンドを使用して、キー管理サーバに格納されている認証キーのキー ID を表示します。
-
リストアされたカラム = 'yes/true' の場合は ' 終了し ' 交換プロセスを完了することができます
-
「 Key Manager type 」 = 「 external 」および「 restored 」列 = 「 yes / true 」以外の場合は、「 securitykey-manager external restore 」コマンドを使用して認証キーのキー ID をリストアします。
コマンドが失敗した場合は、カスタマーサポートにお問い合わせください。 -
「 Key Manager type 」 = 「 onboard 」で「 restored 」列 = 「 yes / true 」以外の場合は、「 securitykey-manager onboard sync 」コマンドを使用して、 Key Manager タイプを再同期します。
security key-manager key query を使用して ' すべての認証キーの Restored カラム = 'yes/true' を確認します
-
-
パートナーコントローラにコンソールケーブルを接続します。
-
storage failover giveback -fromnode local コマンドを使用して、コントローラをギブバックします。
-
「 storage failover modify -node local-auto-giveback true 」コマンドを使用して自動ギブバックを無効にした場合は、自動ギブバックをリストアします。
-
AutoSupportが有効になっている場合は、
system node autosupport invoke -node * -type all -message MAINT=END