パートナーノードからの自動ブートメディアリカバリ - FAS70およびFAS90
変更を提案
PDF
FAS70またはFAS90ストレージシステムに新しいブートメディアデバイスをインストールしたら、自動ブートメディアリカバリプロセスを開始して、パートナーノードから構成を復元できます。リカバリプロセス中、システムは暗号化が有効になっているかどうかを確認し、使用されているキー暗号化の種類を判別します。キー暗号化が有効になっている場合は、復元するための適切な手順がシステムによって案内されます。
自動ブートメディアリカバリプロセスは、 ONTAP 9.17.1以降でのみサポートされています。ストレージシステムで以前のバージョンのONTAPを実行している場合は、 "手動ブート回復手順" 。
-
キー マネージャーのタイプを決定します。
-
オンボードキーマネージャ(OKM):クラスタ全体のパスフレーズとバックアップデータが必要です
-
外部キー マネージャー (EKM): パートナー ノードから次のファイルが必要です。
-
/cfcard/kmip/servers.cfg -
/cfcard/kmip/certs/client.crt -
/cfcard/kmip/certs/client.key -
/cfcard/kmip/certs/CA.pem
-
-
-
LOADER プロンプトから、ブート メディア回復プロセスを開始します。
boot_recovery -partner画面に次のメッセージが表示されます。
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
ブートメディアのインストールリカバリプロセスを監視します。
プロセスが完了し、メッセージが表示されます
Installation complete。 -
システムは暗号化をチェックし、次のいずれかのメッセージを表示します。
表示されるメッセージ 操作 key manager is not configured. Exiting.システムに暗号化がインストールされていません。
-
ログインプロンプトが表示されるまで待ちます。
-
ノードにログインし、ストレージを返却します。
「 storage failover giveback -ofnode _impaired_node_name _
-
自動ギブバックが無効になっている場合は、手順 6 に進み、再度有効にします。
key manager is configured.暗号化がインストールされています。キー マネージャーを復元するには、手順 4 に進みます。
システムがキー マネージャーの構成を識別できない場合は、エラー メッセージが表示され、キー マネージャーが構成されているかどうか、およびそのタイプ (オンボードまたは外部) を確認するように求められます。プロンプトに答えて続行します。 -
-
構成に適した手順を使用してキー マネージャーを復元します。
オンボードキーマネージャ( OKM )システムは次のメッセージを表示し、BootMenu オプション 10 の実行を開始します。
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
入力 `y`OKM 回復プロセスを開始するかどうかを確認するプロンプトが表示されます。
-
プロンプトが表示されたら、オンボード キー管理のパスフレーズを入力します。
-
確認を求められた場合は、パスフレーズをもう一度入力します。
-
プロンプトが表示されたら、オンボード キー マネージャーのバックアップ データを入力します。
パスフレーズとバックアップデータのプロンプトの例を示す
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
パートナー ノードから適切なファイルを復元するリカバリ プロセスを監視します。
回復プロセスが完了すると、ノードが再起動します。次のメッセージは回復が成功したことを示します。
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
ノードが再起動したら、システムがオンラインに戻り、動作可能であることを確認します。
-
障害コントローラのストレージをギブバックして、障害コントローラを通常動作に戻します。
「 storage failover giveback -ofnode _impaired_node_name _
-
パートナー ノードが完全に起動してデータを提供するようになったら、クラスター全体で OKM キーを同期します。
security key-manager onboard sync自動ギブバックが無効になっている場合は、手順 5 に進み、再度有効にします。
外部キーマネージャ( EKM )システムは次のメッセージを表示し、BootMenu オプション 11 の実行を開始します。
key manager is configured. Entering Bootmenu Option 11...
-
プロンプトが表示されたら、EKM 構成設定を入力します。
-
クライアント証明書の内容を入力します。 `/cfcard/kmip/certs/client.crt`ファイル:
クライアント証明書の内容の例を表示します。
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
クライアントキーファイルの内容を入力します。 `/cfcard/kmip/certs/client.key`ファイル:
クライアントキーファイルの内容の例を表示します。
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
-
KMIPサーバーのCAファイルの内容を入力します。 `/cfcard/kmip/certs/CA.pem`ファイル:
KMIPサーバファイルの内容の例を表示します。
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
-
サーバー構成ファイルの内容を入力します。 `/cfcard/kmip/servers.cfg`ファイル:
サーバ構成ファイルの内容の例を表示します。
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
-
プロンプトが表示されたら、パートナー ノードからONTAPクラスタ UUID を入力します。パートナーノードからクラスタUUIDを確認するには、 `cluster identify show`指示。
ONTAPクラスタ UUID プロンプトの例を示す
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s). -
プロンプトが表示されたら、ノードの一時的なネットワーク インターフェイスと設定を入力します。
-
ポートのIPアドレス
-
ポートのネットマスク
-
デフォルトゲートウェイのIPアドレス
一時的なネットワーク設定プロンプトの例を示す
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
-
キーの復元ステータスを確認します。
-
もしあなたが `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`出力では、EKM 構成が正常に復元されたことが示されています。このプロセスでは、パートナー ノードから適切なファイルを復元し、ノードを再起動します。次の手順に進みます。
-
キーが正常に復元されない場合、システムは停止し、エラーおよび警告メッセージが表示されます。 LOADER プロンプトからリカバリ プロセスを再実行します。
boot_recovery -partnerキーリカバリのエラーおよび警告メッセージの例を示します。
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
ノードが再起動したら、システムがオンラインに戻り、動作可能であることを確認します。
-
コントローラのストレージをギブバックして、コントローラを通常動作に戻します。
「 storage failover giveback -ofnode _impaired_node_name _
自動ギブバックが無効になっている場合は、手順 5 に進み、再度有効にします。
-
-
自動ギブバックを無効にした場合は、再度有効にします。
storage failover modify -node local -auto-giveback true -
AutoSupportが有効になっている場合は、ケースの自動作成をリストアします。
system node autosupport invoke -node * -type all -message MAINT=END
ONTAPイメージをリストアしたあと、ノードが稼働してデータを提供できるよう"故障した部品をNetAppに返却します。"になります。