ONTAPでのクラスタ化された外部キーサーバの設定
ONTAP 9.11.1以降では、SVM上のクラスタ化された外部キー管理サーバへの接続を設定できます。クラスタ化されたキー サーバを使用すると、1台のSVM上にプライマリ キー サーバとセカンダリ キー サーバを指定できます。キーを登録する際、ONTAPは最初にプライマリ キー サーバへのアクセスを試行し、その後処理が正常に完了するまで各セカンダリ サーバへのアクセスを順次試行して、キーの重複を回避します。
外部キー サーバは、NSE、NVE、NAE、SEDの各キーに使用できます。1台のSVMに最大4台の外部プライマリKMIPサーバを指定できます。各プライマリ サーバには、最大3台のセカンダリ キー サーバを指定できます。
開始する前に
-
このプロセスでは、KMIPを使用するキーサーバのみがサポートされます。サポートされているキーサーバのリストについては、を参照してください"NetApp Interoperability Matrix Tool"。
-
クラスタ内のすべてのノードでONTAP 9 .11.1以降が実行されている必要があります。
-
パラメータ内のserversリストの引数の順序 `-secondary-key-servers`は、外部キー管理(KMIP)サーバのアクセス順序を反映しています。
-
この手順で説明されているコマンドの詳細については、"ONTAPコマンドリファレンス"
クラスタ化されたキーサーバを作成する
設定手順は、プライマリキーサーバが設定されているかどうかによって異なります。
-
クラスタでキー管理が有効になっていないことを確認します。
`security key-manager external show -vserver svm_name`SVMですでに最大4つのプライマリキーサーバが有効になっている場合は、新しいプライマリキーサーバを追加する前に既存のいずれかを削除する必要があります。 -
プライマリキー管理ツールを有効にします。
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
-
プライマリキーサーバを変更してセカンダリキーサーバを追加します。
-secondary-key-servers`パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
`security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
プライマリキーサーバを変更してセカンダリキーサーバを追加します。 `-secondary-key-servers`パラメータには、最大3つのキーサーバをカンマで区切って指定できます。
`security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers`セカンダリキーサーバの詳細については、を参照してください[mod-secondary]。
クラスタ化されたキーサーバの変更
外部キーサーバクラスタを変更するには、特定のキーサーバのステータス(プライマリまたはセカンダリ)を変更したり、セカンダリキーサーバを追加および削除したり、セカンダリキーサーバのアクセス順序を変更したりします。
プライマリキーサーバとセカンダリキーサーバの変換
プライマリキーサーバをセカンダリキーサーバに変換するには、まずコマンドを使用してそのサーバをSVMから削除する必要があります security key-manager external remove-servers
。
セカンダリキーサーバをプライマリキーサーバに変換するには、まず既存のプライマリキーサーバからセカンダリキーサーバを削除する必要があります。を参照して [mod-secondary]既存のキーを削除するときにセカンダリキーサーバをプライマリサーバに変換すると、削除と変換を完了する前に新しいサーバを追加しようとすると、キーが重複することがあります。
セカンダリキーサーバを変更します。
セカンダリキーサーバの管理には、コマンドのパラメータを `security key-manager external modify-server`使用し `-secondary-key-servers`ます。 `-secondary-key-servers`パラメータには、カンマで区切ったリストを指定できます。リスト内のセカンダリキーサーバの指定した順序によって、セカンダリキーサーバのアクセス順序が決まります。アクセス順序を変更するには、セカンダリキーサーバを別の順序で入力してコマンドを実行し `security key-manager external modify-server`ます。
セカンダリキーサーバを削除するには、 `-secondary-key-servers`削除するキーサーバを省略して保持するキーサーバを引数に含める必要があります。すべてのセカンダリキーサーバを削除するには、引数(なし)を使用し `-`ます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -cli/^][`security key-manager external`コマンドを参照してください。