Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでのクラスタ化された外部キーサーバの設定

共同作成者 netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDF

ONTAP 9.11.1 以降では、SVM 上のクラスタ化された外部キー管理サーバへの接続を設定できます。クラスタ化されたキー サーバを使用すると、SVM 上にプライマリ キー サーバとセカンダリ キー サーバを指定できます。キーを登録または取得する場合、 ONTAP はまずプライマリ キー サーバへのアクセスを試行し、その後、操作が正常に完了するまでセカンダリ サーバへのアクセスを順番に試行します。

NetApp Storage Encryption (NSE)、 NetApp Volume Encryption (NVE)、およびNetApp Aggregate Encryption (NAE) キーには外部キー サーバを使用できます。1台のSVMに最大4台の外部プライマリKMIPサーバを指定できます。各プライマリ サーバには、最大3台のセカンダリ キー サーバを指定できます。

タスクの内容

  • このプロセスでは、KMIPを使用するキーサーバのみがサポートされます。サポートされているキーサーバのリストについては、を参照してください"NetApp Interoperability Matrix Tool"

開始する前に

クラスタ化されたキーサーバを作成する

設定手順は、プライマリキーサーバが設定されているかどうかによって異なります。

SVMにプライマリキーサーバとセカンダリキーサーバを追加する
手順

  1. クラスタ (管理 SVM) に対してキー管理が有効になっていないことを確認します。

    security key-manager external show -vserver <svm_name>

    SVMですでに4台のプライマリ キー サーバが有効になっている場合は、新しいプライマリ キー サーバを追加する前に既存のプライマリ キー サーバのいずれかを削除する必要があります。

  2. プライマリ キー管理ツールを有効にします。

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • ポートを指定しない場合は、 `-key-servers`パラメータが指定されていない場合は、デフォルトのポート 5696 が使用されます。

      メモ 実行している場合 `security key-manager external enable`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。 NetApp、両方のクラスターで同じキー サーバーを使用することを強くお勧めします。

  3. プライマリ キー サーバを変更してセカンダリ キー サーバを追加します。その `-secondary-key-servers`パラメータは、最大 3 つのキー サーバーのコンマ区切りリストを受け入れます。

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • セカンダリキーサーバーのポート番号を `-secondary-key-servers`パラメータ。プライマリ キー サーバーと同じポート番号を使用します。

      メモ 実行している場合 `security key-manager external`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。 NetApp、両方のクラスターで同じキー サーバーを使用することを強くお勧めします。
既存のプライマリキーサーバにセカンダリキーサーバを追加する
手順

  1. プライマリ キー サーバを変更してセカンダリ キー サーバを追加します。その `-secondary-key-servers`パラメータは、最大 3 つのキー サーバーのコンマ区切りリストを受け入れます。

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • セカンダリキーサーバーのポート番号を `-secondary-key-servers`パラメータ。プライマリ キー サーバーと同じポート番号を使用します。

      メモ 実行している場合 `security key-manager external modify-server`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。 NetApp、両方のクラスターで同じキー サーバーを使用することを強くお勧めします。

セカンダリキーサーバーの詳細については、以下を参照してください。 [mod-secondary]

クラスタ化されたキーサーバの変更

セカンダリ キー サーバを追加および削除したり、セカンダリ キー サーバのアクセス順序を変更したり、特定のキー サーバの指定 (プライマリまたはセカンダリ) を変更したりすることで、クラスタ化された外部キー サーバを変更できます。 MetroCluster構成でクラスタ化された外部キー サーバを変更する場合、 NetApp両方のクラスタで同じキー サーバを使用することを強くお勧めします。

セカンダリキーサーバを変更します。

セカンダリ キー サーバを管理するには、 security key-manager external modify-server`コマンドの `-secondary-key-servers`パラメータを使用します。その `-secondary-key-servers パラメータはコンマ区切りのリストを受け入れます。リストに指定されたセカンダリ キー サーバの順序によって、セカンダリ キー サーバのアクセス順序が決まります。アクセス順序を変更するには、セカンダリ キー サーバを別の順序で入力して security key-manager external modify-server コマンドを実行します。セカンダリ キー サーバーのポート番号を含めないでください。

メモ 実行している場合 `security key-manager external modify-server`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。

セカンダリキーサーバーを削除するには、残しておきたいキーサーバーを `-secondary-key-servers`パラメータを選択し、削除したいものを省略します。すべてのセカンダリキーサーバーを削除するには、引数 `-`なしを意味します。

プライマリキーサーバとセカンダリキーサーバの変換

特定のキー サーバーの指定 (プライマリまたはセカンダリ) を変更するには、次の手順に従います。

プライマリキーサーバーをセカンダリキーサーバーに変換する
手順

  1. SVM からプライマリ キー サーバを削除します。

    security key-manager external remove-servers

    メモ 実行している場合 `security key-manager external remove-servers`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。

  2. 実行するクラスタ化されたキーサーバを作成する以前のプライマリ キー サーバーをセカンダリ キー サーバーとして使用する手順。

セカンダリキーサーバーをプライマリキーサーバーに変換する
手順

  1. 既存のプライマリ キー サーバーからセカンダリ キー サーバーを削除します。

    security key-manager external modify-server -secondary-key-servers

  • 実行している場合 `security key-manager external modify-server -secondary-key-servers`MetroCluster構成の管理 SVM に対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータ SVM に対してコマンドを実行する場合は、両方のクラスターでコマンドを実行する必要はありません。

  • 既存のキー サーバーを削除しながらセカンダリ キー サーバーをプライマリ キー サーバーに変換する場合、削除と変換が完了する前に新しいキー サーバーを追加しようとすると、キーが重複する可能性があります。

  1. 実行するクラスタ化されたキーサーバを作成する以前のセカンダリ キー サーバーを新しいクラスター化されたキー サーバーのプライマリ キー サーバーとして使用する手順。

参照[mod-secondary]詳細についてはこちらをご覧ください。

関連情報