Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9 .6以降で外部キー管理を有効にする(ハードウェアベース)

共同作成者
PDF

1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1つのノードに最大4つのKMIPサーバを接続できます。冗長性とディザスタリカバリのために、少なくとも2台のサーバが推奨されます。

ONTAP 9 .11.1以降では、プライマリキーサーバごとに最大3つのセカンダリキーサーバを追加してクラスタ化されたキーサーバを作成できます。詳細については、を参照してください クラスタ化された外部キーサーバの設定

開始する前に

  • KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • 外部キー管理ツールを設定する前に、MetroCluster環境を設定する必要があります。

  • MetroCluster環境では、両方のクラスタに同じKMIP SSL証明書をインストールする必要があります。

手順

  1. クラスタのキー管理ツールの接続を設定します。

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    メモ

    • `security key-manager external enable`コマンドは、コマンドに置き換わるもの `security key-manager setup`です。外部キー管理の設定を変更するには、コマンドを実行し `security key-manager external modify`ます。コマンド構文全体については、マニュアルページを参照してください。

    • MetroCluster環境で管理SVMに外部キー管理を設定する場合は、パートナークラスタでこのコマンドを繰り返す必要があります security key-manager external enable

    次のコマンドは、3台の外部キーサーバでの外部キー管理を有効にします cluster1。1つ目のキーサーバはホスト名とポートを使用して指定し、2つ目のキーサーバはIPアドレスとデフォルトポートを使用して指定し、3つ目のキーサーバはIPv6アドレスとポートを使用して指定します。

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. 設定したすべてのKMIPサーバが接続されていることを確認します。

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    メモ 
    `security key-manager external show-status`コマンドは、コマンドに置き換わるもの `security key-manager show -status`です。コマンド構文全体については、マニュアルページを参照してください。
    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.