Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オンボード暗号化キーのシャットダウン前チェック- ASA A900

共同作成者

障害のあるコントローラをシャットダウンしてオンボード暗号化キーのステータスを確認する前に、障害のあるコントローラのステータスを確認し、自動ギブバックを無効にして、システムで実行されているONTAPのバージョンを確認する必要があります。

ノードが 3 つ以上あるクラスタは、クォーラムを構成している必要があります。クラスタがクォーラムを構成していない場合、または正常なコントローラで適格性と正常性について false と表示される場合は、障害のあるコントローラをシャットダウンする前に問題 を修正する必要があります。を参照してください "ノードをクラスタと同期します"

手順
  1. 障害のあるコントローラのステータスを確認します。

    • 障害のあるコントローラがログインプロンプトに表示されている場合は 'admin' としてログインします

    • 障害のあるコントローラが LOADER プロンプトに表示され、 HA 構成の一部である場合は、正常なコントローラに「 admin 」としてログインします。

    • 障害のあるコントローラがスタンドアロン構成で LOADER プロンプトが表示されている場合は、にお問い合わせください "mysupport.netapp.com"

  2. AutoSupport が有効になっている場合は、 AutoSupport メッセージを呼び出してケースの自動作成を抑制します。「 system node AutoSupport invoke -node * -type all -message MAINT=number_OF_hours_downh

    次の AutoSupport メッセージは、ケースの自動作成を 2 時間停止します。 cluster1 : * > system node AutoSupport invoke -node * -type all -message MAINT=2h`

  3. 「 version -v 」コマンドを使用して、障害のあるコントローラ上でシステムが実行している ONTAP のバージョンを確認します。アップしている場合はパートナーコントローラ上で、障害のあるコントローラがダウンしている場合はパートナーコントローラ上で確認します。

    • このコマンドの出力に <lno-DARE> または <1Ono-dARE> が表示される場合は、システムが NVE をサポートしていないので、コントローラのシャットダウンに進みます。

ONTAP 9.6 以降

障害のあるコントローラをシャットダウンする前に、システムで NetApp Volume Encryption ( NVE )または NetApp Storage Encryption ( NSE )が有効になっているかどうかを確認する必要があります。その場合は、設定を確認する必要があります。

  1. クラスタ内のいずれのボリュームにも NVE が使用されているかどうかを確認します。 volume show -is-encrypted true

    出力に含まれるボリュームには NVE が設定されているため、 NVE の設定を確認する必要があります。ボリュームが表示されない場合は、 NSE が設定されて使用中であるかどうかを確認します。

  2. NSE が構成され ' 使用されているかどうかを確認します storage encryption disk show

    • モードとキー ID の情報を含むドライブの詳細がコマンド出力に表示される場合は、 NSE が設定されているので、 NSE の設定と使用状況を確認する必要があります。

    • ディスクが表示されない場合は、 NSE は設定されません。

    • NVE と NSE が設定されていない場合、 NSE キーでドライブが保護されていないため、障害のあるコントローラを安全にシャットダウンできます。

NVE の設定を確認する

  1. キー管理サーバに格納されている認証キーのキーIDを表示します。 security key-manager key query

    メモ ONTAP 9.6 リリース以降では、キー管理ツールのタイプが追加されることがあります。タイプは「 KMIP 」、「 AKV 」、「 GCP 」です。これらのタイプを確認するプロセスは 'external' または 'onboard のキー管理タイプを確認するプロセスと同じです
    • 「キー・マネージャ」タイプに「 external 」と表示され、「 Restored 」列に「 yes 」と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

    • 「キー・マネージャ」タイプに「 onboard 」と表示され、「 restored 」列に「 yes 」と表示されている場合は、いくつかの追加手順を実行する必要があります。

    • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

    • 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示されている場合は ' 追加の手順を実行する必要があります

  2. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' と表示されている場合は 'OKM 情報を手動でバックアップします

    1. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    2. コマンドを入力して、キー管理情報「 securitykey-manager onboard show-backup 」を表示します

    3. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    4. admin モードに戻ります。 'set-priv admin'

    5. 障害のあるコントローラをシャットダウンします。

  3. 「キー・マネージャ」タイプに「外部」が表示され、「リストア済み」列に「はい」以外の項目が表示される場合:

    1. 外部キー管理の認証キーをクラスタ内のすべてのノードにリストアします:「 securitykey-manager external restore

      コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

    1. を確認します Restored 列が等しい yes すべての認証キー: security key-manager key query

    2. 障害のあるコントローラをシャットダウンします。

  4. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

    1. onboard security key-manager sync コマンド「 security key-manager sync 」を入力します

      メモ プロンプトで、32文字のオンボードキー管理のパスフレーズを英数字で入力します。パスフレーズを指定できない場合は、ネットアップサポートにお問い合わせください。 "mysupport.netapp.com"
    2. を確認します Restored 列が表示されます yes すべての認証キー: security key-manager key query

    3. 「キーマネージャ」タイプに「 onboard 」と表示されていることを確認し、 OKM 情報を手動でバックアップします。

    4. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    5. コマンドを入力して、キー管理バックアップ情報を表示します。「 securitykey-manager onboard show-backup 」

    6. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    7. admin モードに戻ります。 'set-priv admin'

    8. コントローラは安全にシャットダウンできます。

NSE の設定を確認

  1. キー管理サーバに格納されている認証キーのキーIDを表示します。 security key-manager key query -key-type NSE-AK

    メモ ONTAP 9.6 リリース以降では、キー管理ツールのタイプが追加されることがあります。タイプは「 KMIP 」、「 AKV 」、「 GCP 」です。これらのタイプを確認するプロセスは 'external' または 'onboard のキー管理タイプを確認するプロセスと同じです
    • 「キー・マネージャ」タイプに「 external 」と表示され、「 Restored 」列に「 yes 」と表示されている場合は、障害のあるコントローラをシャットダウンしても安全です。

    • 「キー・マネージャ」タイプに「 onboard 」と表示され、「 restored 」列に「 yes 」と表示されている場合は、いくつかの追加手順を実行する必要があります。

    • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

    • 「キー・マネージャ」タイプに「外部」が表示され、「復元」列に「はい」以外の項目が表示されている場合は、いくつかの追加手順を実行する必要があります。

  2. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' と表示されている場合は 'OKM 情報を手動でバックアップします

    1. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    2. コマンドを入力して、キー管理情報「 securitykey-manager onboard show-backup 」を表示します

    3. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    4. admin モードに戻ります。 'set-priv admin'

    5. コントローラは安全にシャットダウンできます。

  3. 「キー・マネージャ」タイプに「外部」が表示され、「リストア済み」列に「はい」以外の項目が表示される場合:

    1. 外部キー管理の認証キーをクラスタ内のすべてのノードにリストアします:「 securitykey-manager external restore

      コマンドが失敗した場合は、ネットアップサポートにお問い合わせください。

    1. を確認します Restored 列が等しい yes すべての認証キー: security key-manager key query

    2. コントローラは安全にシャットダウンできます。

  4. 'Key Manager' タイプに 'onboard と表示され ' Restored' カラムに 'yes' 以外の項目が表示される場合は ' 次の手順を実行します

    1. onboard security key-manager sync コマンド「 security key-manager sync 」を入力します

      プロンプトで、32文字のオンボードキー管理のパスフレーズを英数字で入力します。パスフレーズを指定できない場合は、ネットアップサポートにお問い合わせください。

    1. を確認します Restored 列が表示されます yes すべての認証キー: security key-manager key query

    2. 「キーマネージャ」タイプに「 onboard 」と表示されていることを確認し、 OKM 情報を手動でバックアップします。

    3. advanced 権限モードに切り替え、続行するかどうかを尋ねられたら「 y 」と入力します。「 set -priv advanced 」

    4. コマンドを入力して、キー管理バックアップ情報を表示します。「 securitykey-manager onboard show-backup 」

    5. バックアップ情報の内容を別のファイルまたはログファイルにコピーします。OKM は手動でリカバリする必要がある災害シナリオで必要になります。

    6. admin モードに戻ります。 'set-priv admin'

    7. コントローラは安全にシャットダウンできます。