クラスタ構成の外部キーサーバを構成
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.11.1以降では、SVM上のクラスタ化された外部キー管理サーバへの接続を設定できます。クラスタ化されたキーサーバを使用すると、SVMのプライマリキーサーバとセカンダリキーサーバを指定できます。キーを登録すると、ONTAP は、処理が正常に完了するまで、プライマリキーサーバへのアクセスを順次試行する前に、キーの重複を防止します。
外部キーサーバは、NSE、NVE、NAE、およびSEDのキーに使用できます。SVMでは、最大4つのプライマリ外部KMIPサーバをサポートできます。各プライマリサーバは、最大3台のセカンダリキーサーバをサポートできます。
作業を開始する前に
-
このプロセスでサポートされるのは、KMIPを使用するキーサーバのみです。サポートされているキーサーバの一覧については、を参照してください "NetApp Interoperability Matrix Tool で確認できます"。
-
クラスタ内のすべてのノードでONTAP 9.11.1以降が実行されている必要があります。
-
サーバの順序は、で引数をリストします
-secondary-key-servers
パラメータには、外部キー管理(KMIP)サーバのアクセス順序が反映されます。
クラスタ化されたキーサーバを作成します
設定手順 は、プライマリキーサーバを設定したかどうかによって異なります。
-
クラスタでキー管理が有効になっていないことを確認します。
security key-manager external show -vserver svm_name
SVMですでに最大4つのプライマリキーサーバが有効になっている場合は、新しいプライマリキーサーバを追加する前に既存のプライマリキーサーバの1つを削除する必要があります。 -
プライマリキー管理ツールを有効にします。
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
-
プライマリキーサーバを変更してセカンダリキーサーバを追加します。。
-secondary-key-servers
パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
プライマリキーサーバを変更してセカンダリキーサーバを追加します。。
-secondary-key-servers
パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
セカンダリキーサーバの詳細については、を参照してください [mod-secondary]。
クラスタ化されたキーサーバを変更
外部キーサーバクラスタの変更では、特定のキーサーバのステータス(プライマリまたはセカンダリ)を変更したり、セカンダリキーサーバを追加および削除したり、セカンダリキーサーバのアクセス順序を変更したりできます。
プライマリキーサーバとセカンダリキーサーバの変換
プライマリキーサーバをセカンダリキーサーバに変換するには、まずを使用してSVMからプライマリキーサーバを削除する必要があります security key-manager external remove-servers
コマンドを実行します
セカンダリキーサーバをプライマリキーサーバに変換するには、まず既存のプライマリキーサーバからセカンダリキーサーバを削除する必要があります。を参照してください [mod-secondary]。既存のキーの削除中にセカンダリキーサーバをプライマリサーバに変換する場合、削除および変換を実行する前に新しいサーバを追加しようとすると、キーが重複する可能性があります。
セカンダリキーサーバを変更します。
セカンダリキーサーバの管理はで行います -secondary-key-servers
のパラメータ security key-manager external modify-server
コマンドを実行します。 -secondary-key-servers
パラメータにはカンマで区切ったリストを指定できます。リスト内で指定されたセカンダリキーサーバの順序によって、セカンダリキーサーバのアクセスシーケンスが決まります。アクセス順序は、コマンドを実行して変更できます security key-manager external modify-server
セカンダリキーサーバを別の順序で入力します。
セカンダリキーサーバを削除するには、を実行します -secondary-key-servers
引数には、削除するキーサーバを省略して保持するキーサーバを指定する必要があります。すべてのセカンダリキーサーバを削除するには、引数を使用します -
「なし」を意味します。
追加情報 の場合は、を参照してください security key-manager external
ページのを参照してください "ONTAP コマンドリファレンス"。