Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5 以前で外部キー管理を有効にします

共同作成者

1 つ以上の KMIP サーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1 つのノードに最大 4 つの KMIP サーバを接続できます。冗長性とディザスタリカバリのために、少なくとも 2 台のサーバを使用することを推奨します。

このタスクについて

ONTAP は、クラスタ内のすべてのノードについて KMIP サーバの接続を設定します。

作業を開始する前に
  • KMIP SSL クライアント証明書とサーバ証明書をインストールしておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • 外部キー管理ツールを設定する前に、 MetroCluster 環境を設定する必要があります。

  • MetroCluster 環境では、両方のクラスタにKMIP SSL証明書をインストールする必要があります。

手順
  1. クラスタノードのキー管理ツールの接続を設定します。

    security key-manager setup

    キー管理ツールのセットアップが開始されます。

    メモ MetroCluster 環境では、このコマンドを両方のクラスタで実行する必要があります。
  2. 各プロンプトで適切な応答を入力します。

  3. KMIP サーバを追加します。

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.1
    メモ MetroCluster 環境では、このコマンドを両方のクラスタで実行する必要があります。
  4. 冗長性を確保するために KMIP サーバをもう 1 つ追加します。

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.2
    メモ MetroCluster 環境では、このコマンドを両方のクラスタで実行する必要があります。
  5. 設定したすべての KMIP サーバが接続されていることを確認します。

    security key-manager show -status

    コマンド構文全体については、マニュアルページを参照してください。

    cluster1::> security key-manager show -status
    
    Node            Port      Registered Key Manager  Status
    --------------  ----      ----------------------  ---------------
    cluster1-01     5696      20.1.1.1                available
    cluster1-01     5696      20.1.1.2                available
    cluster1-02     5696      20.1.1.1                available
    cluster1-02     5696      20.1.1.2                available
  6. 必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。MetroCluster環境では、両方のサイトに外部キー管理ツールを設定する必要があります。