暗号化キーのサポートとステータスの確認- FAS9500
変更を提案
PDF
ストレージシステムのデータセキュリティを確保するには、暗号化キーのサポートとブートメディアのステータスを確認する必要があります。ONTAPのバージョンでNetApp Volume Encryption(NVE)がサポートされているかどうかを確認し、コントローラをシャットダウンする前にキー管理ツールがアクティブになっているかどうかを確認してください。
ストレージシステムがONTAP 9.17.1以降を実行している場合は、"自動ブート回復手順" 。システムで以前のバージョンのONTAPを実行している場合は、手動ブートリカバリ手順を使用する必要があります。
ステップ1: NVEのサポートを確認し、正しいONTAPイメージをダウンロードする
ブート メディアの交換に適切なONTAPイメージをダウンロードできるように、 ONTAPバージョンがNetApp Volume Encryption (NVE) をサポートしているかどうかを確認します。
-
ONTAPバージョンが暗号化をサポートしているかどうかを確認します。
version -v出力にが含まれている場合、 `1Ono-DARE`クラスタのバージョンではNVEがサポートされていません。
-
NVE サポートに基づいて適切なONTAPイメージをダウンロードします。
-
NVEがサポートされている場合: NetApp Volume Encryptionを含むONTAPイメージをダウンロードします
-
NVEがサポートされていない場合: NetAppボリューム暗号化なしのONTAPイメージをダウンロードします
NetAppサポート サイトからONTAPイメージを HTTP または FTP サーバーまたはローカル フォルダーにダウンロードします。ブート メディアの交換手順中にこのイメージ ファイルが必要になります。
-
ステップ2: キーマネージャーのステータスを確認し、構成をバックアップする
障害のあるコントローラをシャットダウンする前に、キー マネージャの構成を確認し、必要な情報をバックアップしてください。
-
システムで有効になっているキー管理ツールを確認します。
ONTAP バージョン 実行するコマンド ONTAP 9 .14.1以降
security key-manager keystore show-
EKMが有効になっている場合は、 `EKM`がコマンド出力に表示されます。
-
OKMが有効になっている場合は、 `OKM`がコマンド出力に表示されます。
-
有効になっているキー管理ツールがない場合は
No key manager keystores configured、コマンドの出力にと表示されます。
ONTAP 9.13.1 以前
security key-manager show-key-store-
EKMが有効になっている場合は、 `external`がコマンド出力に表示されます。
-
OKMが有効になっている場合は、 `onboard`がコマンド出力に表示されます。
-
有効になっているキー管理ツールがない場合は
No key managers configured、コマンドの出力にと表示されます。
-
-
システムにキー マネージャーが設定されているかどうかに応じて、次のいずれかを実行します。
キーマネージャーが設定されていない場合:
障害のあるコントローラーを安全にシャットダウンし、シャットダウン手順に進むことができます。
キーマネージャーが設定されている場合(EKMまたはOKM):
-
キー マネージャー内の認証キーのステータスを表示するには、次のクエリ コマンドを入力します。
security key-manager key query -
出力を確認し、 `Restored`カラム。この列には、キー マネージャー (EKM または OKM) の認証キーが正常に復元されたかどうかが表示されます。
-
-
キー マネージャーのタイプに応じて適切な手順を完了します。
外部キーマネージャ( EKM )以下の値に基づいてこれらの手順を完了します。 `Restored`カラム。
すべてのキーが表示された場合 `true`復元された列に:
障害のあるコントローラーを安全にシャットダウンし、シャットダウン手順に進むことができます。
いずれかのキーに以下の値が表示されていない場合は `true`復元された列に:
-
外部キー管理認証キーをクラスター内のすべてのノードに復元します。
security key-manager external restoreこのコマンドが失敗した場合は、NetAppサポートにお問い合わせください。
-
すべての認証キーが復元されたことを確認します。
security key-manager key query確認する `Restored`列表示 `true`すべての認証キーに対して。
-
すべてのキーが復元された場合は、障害のあるコントローラーを安全にシャットダウンし、シャットダウン手順に進むことができます。
オンボードキーマネージャ( OKM )以下の値に基づいてこれらの手順を完了します。 `Restored`カラム。
すべてのキーが表示された場合 `true`復元された列に:
-
OKM 情報をバックアップします。
-
高度な権限モードに切り替える:
set -priv advanced
入力 `y`続行するように求められた場合。
-
キー管理のバックアップ情報を表示します。
security key-manager onboard show-backup -
バックアップ情報を別のファイルまたはログ ファイルにコピーします。
交換手順中に OKM を手動で回復する必要がある場合は、このバックアップ情報が必要になります。
-
管理者モードに戻る:
set -priv admin
-
-
障害のあるコントローラーを安全にシャットダウンし、シャットダウン手順に進むことができます。
いずれかのキーに以下の値が表示されていない場合は `true`復元された列に:
-
オンボード キー マネージャーを同期します。
security key-manager onboard syncプロンプトが表示されたら、32 文字の英数字のオンボード キー管理パスフレーズを入力します。
これは、オンボード キー マネージャーを最初に構成したときに作成したクラスター全体のパスフレーズです。このパスフレーズがない場合は、 NetAppサポートにお問い合わせください。 -
すべての認証キーが復元されたことを確認します。
security key-manager key query確認する
Restored`列表示 `true`すべての認証キーと `Key Manager`タイプ表示 `onboard。 -
OKM 情報をバックアップします。
-
高度な権限モードに切り替える:
set -priv advanced
入力 `y`続行するように求められた場合。
-
キー管理のバックアップ情報を表示します。
security key-manager onboard show-backup -
バックアップ情報を別のファイルまたはログ ファイルにコピーします。
交換手順中に OKM を手動で回復する必要がある場合は、このバックアップ情報が必要になります。
-
管理者モードに戻る:
set -priv admin
-
-
障害のあるコントローラーを安全にシャットダウンし、シャットダウン手順に進むことができます。
-