Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クラスタ化された外部キーサーバの設定

共同作成者
PDF

ONTAP 9.11.1以降では、SVM上のクラスタ化された外部キー管理サーバへの接続を設定できます。クラスタ化されたキー サーバを使用すると、1台のSVM上にプライマリ キー サーバとセカンダリ キー サーバを指定できます。キーを登録する際、ONTAPは最初にプライマリ キー サーバへのアクセスを試行し、その後処理が正常に完了するまで各セカンダリ サーバへのアクセスを順次試行して、キーの重複を回避します。

外部キー サーバは、NSE、NVE、NAE、SEDの各キーに使用できます。1台のSVMに最大4台の外部プライマリKMIPサーバを指定できます。各プライマリ サーバには、最大3台のセカンダリ キー サーバを指定できます。

開始する前に

  • "SVMでKMIPキー管理が有効になっている必要があります。"です。

  • このプロセスでは、KMIPを使用するキーサーバのみがサポートされます。サポートされているキーサーバのリストについては、を参照してください"NetApp Interoperability Matrix Tool"

  • クラスタ内のすべてのノードでONTAP 9 .11.1以降が実行されている必要があります。

  • パラメータ内のserversリストの引数の順序 `-secondary-key-servers`は、外部キー管理(KMIP)サーバのアクセス順序を反映しています。

クラスタ化されたキーサーバを作成する

設定手順は、プライマリキーサーバが設定されているかどうかによって異なります。

SVMにプライマリキーサーバとセカンダリキーサーバを追加する

  1. クラスタでキー管理が有効になっていないことを確認します。
    `security key-manager external show -vserver svm_name`SVMですでに最大4つのプライマリキーサーバが有効になっている場合は、新しいプライマリキーサーバを追加する前に既存のいずれかを削除する必要があります。

  2. プライマリキー管理ツールを有効にします。
    security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names

  3. プライマリキーサーバを変更してセカンダリキーサーバを追加します。 -secondary-key-servers`パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
    `security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

既存のプライマリキーサーバにセカンダリキーサーバを追加する

  1. プライマリキーサーバを変更してセカンダリキーサーバを追加します。 `-secondary-key-servers`パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
    `security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers`セカンダリキーサーバの詳細については、を参照してください[mod-secondary]

クラスタ化されたキーサーバの変更

外部キーサーバクラスタを変更するには、特定のキーサーバのステータス(プライマリまたはセカンダリ)を変更したり、セカンダリキーサーバを追加および削除したり、セカンダリキーサーバのアクセス順序を変更したりします。

プライマリキーサーバとセカンダリキーサーバの変換

プライマリキーサーバをセカンダリキーサーバに変換するには、まずコマンドを使用してそのサーバをSVMから削除する必要があります security key-manager external remove-servers

セカンダリキーサーバをプライマリキーサーバに変換するには、まず既存のプライマリキーサーバからセカンダリキーサーバを削除する必要があります。を参照して [mod-secondary]既存のキーを削除するときにセカンダリキーサーバをプライマリサーバに変換すると、削除と変換を完了する前に新しいサーバを追加しようとすると、キーが重複することがあります。

セカンダリキーサーバを変更します。

セカンダリキーサーバの管理には、コマンドのパラメータを `security key-manager external modify-server`使用し `-secondary-key-servers`ます。 `-secondary-key-servers`パラメータには、カンマで区切ったリストを指定できます。リスト内のセカンダリキーサーバの指定した順序によって、セカンダリキーサーバのアクセス順序が決まります。アクセス順序を変更するには、セカンダリキーサーバを別の順序で入力してコマンドを実行し `security key-manager external modify-server`ます。

セカンダリキーサーバを削除するには、 `-secondary-key-servers`削除するキーサーバを省略して保持するキーサーバを引数に含める必要があります。すべてのセカンダリキーサーバを削除するには、引数(なし)を使用し `-`ます。

詳細については、『』のページを参照して `security key-manager external`"ONTAPコマンド リファレンス"ください。