Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6 以降で外部キー管理を有効にする(ハードウェアベース)

共同作成者
PDF

1 つ以上の KMIP サーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1 つのノードに最大 4 つの KMIP サーバを接続できます。冗長性とディザスタリカバリのために、少なくとも 2 台のサーバを使用することを推奨します。

ONTAP 9.11.1以降では、プライマリキーサーバごとに最大3つのセカンダリキーサーバを追加して、クラスタ化されたキーサーバを作成できます。詳細については、を参照してください クラスタ構成の外部キーサーバを構成

作業を開始する前に

  • KMIP SSL クライアント証明書とサーバ証明書をインストールしておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • 外部キー管理ツールを設定する前に、 MetroCluster 環境を設定する必要があります。

  • MetroCluster 環境では、両方のクラスタにKMIP SSL証明書をインストールする必要があります。

手順

  1. クラスタのキー管理ツールの接続を設定します。

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    メモ

    • security key-manager external enable コマンドは、に置き換わるものです security key-manager setup コマンドを実行しますを実行できます security key-manager external modify コマンドを使用して、外部キー管理の設定を変更します。コマンド構文全体については、マニュアルページを参照してください。

    • MetroCluster 環境で管理SVMに外部キー管理を設定する場合は、を繰り返す必要があります security key-manager external enable パートナークラスタに対して実行します。

    次のコマンドは、の外部キー管理を有効にします cluster1 3つの外部キーサーバで構成されます。最初のキーサーバはホスト名とポートで指定し、 2 番目のキーサーバは IP アドレスとデフォルトポートで指定し、 3 番目のキーサーバは IPv6 アドレスとポートで指定します。

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. 設定したすべての KMIP サーバが接続されていることを確認します。

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    メモ

    security key-manager external show-status コマンドは、に置き換わるものです security key-manager show -status コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.