Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでクラスタ化された外部キーサーバを設定する

共同作成者 netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDF

ONTAP 9.11.1以降では、SVM上でクラスタ化された外部キー管理サーバへの接続を設定できます。クラスタ化されたキーサーバでは、SVM上でプライマリキーサーバとセカンダリキーサーバを指定できます。キーの登録または取得を行う際、ONTAPはまずプライマリキーサーバへのアクセスを試行し、その後、処理が正常に完了するまでセカンダリサーバへのアクセスを順番に試行します。

NetAppストレージ暗号化(NSE)、NetAppボリューム暗号化(NVE)、NetAppアグリゲート暗号化(NAE)のキーには外部キーサーバを使用できます。SVMは最大4台のプライマリ外部KMIPサーバをサポートできます。各プライマリサーバは最大3台のセカンダリキーサーバをサポートできます。

タスク概要

  • このプロセスは、KMIPを使用するキーサーバーのみをサポートします。サポートされているキーサーバーのリストについては、"NetApp Interoperability Matrix Tool"をご覧ください。

開始する前に

  • "SVMでKMIPキー管理を有効にする必要があります"

  • クラスタのすべてのノードでONTAP 9.11.1以降が実行されている必要があります。

  • `-secondary-key-servers`パラメータにリストされているサーバーの順序は、外部キー管理(KMIP)サーバーのアクセス順序を反映します。

クラスタ化されたキー サーバの作成

設定手順は、プライマリ キー サーバを設定済みかどうかによって異なります。

SVMへのプライマリ キー サーバとセカンダリ キー サーバの追加
手順

  1. クラスタ(admin SVM)に対してキー管理が有効になっていないことを確認します:

    security key-manager external show -vserver <svm_name>

    SVMですでに4台のプライマリ キー サーバが有効になっている場合は、新しいプライマリ キー サーバを追加する前に既存のプライマリ キー サーバのいずれかを削除する必要があります。

  2. プライマリ キー管理ツールを有効にします。

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • `-key-servers`パラメータでポートを指定しない場合は、デフォルトのポート5696が使用されます。

      メモ MetroCluster構成内の管理SVMに対して `security key-manager external enable`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個別のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。NetAppでは、両方のクラスタで同じキーサーバを使用することを強くお勧めします。

  3. プライマリキーサーバーを変更して、セカンダリキーサーバーを追加します。 `-secondary-key-servers`パラメータには、最大3つのキーサーバーをカンマ区切りで指定できます。

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • `-secondary-key-servers`パラメータにセカンダリキーサーバのポート番号を含めないでください。プライマリキーサーバと同じポート番号が使用されます。

      メモ MetroCluster構成内の管理SVMに対して `security key-manager external`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個別のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。NetAppでは、両方のクラスタで同じキーサーバを使用することを強くお勧めします。
既存のプライマリ キー サーバへのセカンダリ キー サーバの追加
手順

  1. プライマリキーサーバーを変更して、セカンダリキーサーバーを追加します。 `-secondary-key-servers`パラメータには、最大3つのキーサーバーをカンマ区切りで指定できます。

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • `-secondary-key-servers`パラメータにセカンダリ鍵サーバのポート番号を含めないでください。プライマリ鍵サーバと同じポート番号を使用します。

      メモ MetroCluster構成内の管理SVMに対して `security key-manager external modify-server`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個別のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。NetAppでは、両方のクラスタで同じキーサーバを使用することを強くお勧めします。

セカンダリキーサーバの詳細については、[mod-secondary]を参照してください。

クラスタ化されたキー サーバの変更

クラスタ化された外部キーサーバは、セカンダリキーサーバの追加と削除、セカンダリキーサーバのアクセス順序の変更、特定のキーサーバの指定(プライマリまたはセカンダリ)の変更によって変更できます。MetroCluster構成内のクラスタ化された外部キーサーバを変更する場合は、NetAppでは両方のクラスタで同じキーサーバを使用することを強くお勧めします。

セカンダリ キー サーバの変更

`security key-manager external modify-server`コマンドの `-secondary-key-servers`パラメータを使用して、セカンダリキーサーバを管理します。 `-secondary-key-servers`パラメータには、カンマ区切りのリストを指定できます。リスト内のセカンダリキーサーバの指定順序によって、セカンダリキーサーバのアクセス順序が決まります。アクセス順序を変更するには、セカンダリキーサーバを異なる順序で入力して `security key-manager external modify-server`コマンドを実行します。セカンダリキーサーバのポート番号は指定しないでください。
メモ MetroCluster構成の管理SVMに対して `security key-manager external modify-server`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。

セカンダリキーサーバを削除するには、 `-secondary-key-servers`パラメータに保持するキーサーバを含め、削除するキーサーバを省略します。すべてのセカンダリキーサーバを削除するには、引数 `-`を使用します。これは「なし」を意味します。

プライマリ キー サーバとセカンダリ キー サーバの変換

特定のキー サーバーの指定(プライマリまたはセカンダリ)を変更するには、次の手順に従います。

プライマリキーサーバをセカンダリキーサーバに変換
手順

  1. SVMからプライマリキーサーバを削除します。

    security key-manager external remove-servers

    メモ MetroCluster構成の管理SVMに対して `security key-manager external remove-servers`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。

  2. 以前のプライマリキーサーバーをセカンダリキーサーバーとして使用してクラスタ化されたキー サーバの作成手順を実行します。

セカンダリキーサーバをプライマリキーサーバに変換する
手順

  1. 既存のプライマリキーサーバーからセカンダリキーサーバーを削除します:

    security key-manager external modify-server -secondary-key-servers

  • MetroCluster構成の管理SVMに対して `security key-manager external modify-server -secondary-key-servers`コマンドを実行する場合は、両方のクラスタでコマンドを実行する必要があります。個々のデータSVMに対してコマンドを実行する場合は、両方のクラスタでコマンドを実行する必要はありません。

  • 既存のキー サーバーを削除しながらセカンダリ キー サーバーをプライマリ キー サーバーに変換する場合、削除と変換が完了する前に新しいキー サーバーを追加しようとすると、キーが重複する可能性があります。

  1. 以前のセカンダリキーサーバを新しいクラスタ化されたキーサーバのプライマリキーサーバとして使用して、クラスタ化されたキー サーバの作成手順を実行します。

詳細については、[mod-secondary]を参照してください。

関連情報