Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6以降でNVEの外部キー管理を有効にする

共同作成者 netapp-aoife netapp-barbe netapp-aaron-holt netapp-bhouser netapp-ahibbard netapp-folivia netapp-thomi netapp-aherbin
PDF

KMIPサーバを使用して、クラスタが暗号化データにアクセスするために使用するキーを保護します。ONTAP 9.6以降では、データSVMが暗号化データにアクセスするために使用するキーを保護するために、別の外部キーマネージャを設定できるようになりました。

ONTAP 9.11.1以降では、プライマリキーサーバごとに最大3台のセカンダリキーサーバを追加して、クラスタ化されたキーサーバを作成できます。詳細については、クラスタ化された外部キー サーバの設定を参照してください。

タスク概要

クラスタまたはSVMには最大4台のKMIPサーバーを接続できます。冗長性と災害復旧のために、少なくとも2台のサーバーを使用してください。

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内の全SVMになるか、選択したSVMのみになるかが決まります。

  • _クラスタスコープ_を使用すると、クラスタ内のすべてのSVMに対して外部キー管理を設定できます。クラスタ管理者は、サーバーに保存されているすべてのキーにアクセスできます。

  • ONTAP 9.6以降では、_SVMスコープ_を使用して、クラスタ内のデータSVMの外部キー管理を設定できます。これは、各テナントが異なるSVM(またはSVMセット)を使用してデータを提供するマルチテナント環境に最適です。特定のテナントのキーにアクセスできるのは、そのテナントのSVM管理者のみです。

  • マルチテナント環境の場合は、次のコマンドを使用して MT_EK_MGMT のライセンスをインストールします:

    system license add -license-code <MT_EK_MGMT license code>

    `system license add`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/system-license-add.html["ONTAPコマンド リファレンス"^]をご覧ください。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

オンボードキー管理はクラスタスコープで設定でき、外部キー管理はSVMスコープで設定できます。 `security key-manager key migrate`コマンドを使用すると、クラスタスコープのオンボードキー管理からSVMスコープの外部キーマネージャにキーを移行できます。

`security key-manager key migrate`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-migrate.html["ONTAPコマンド リファレンス"^]をご覧ください。
開始する前に

  • KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。

  • KMIP サーバーは、各ノードのノード管理 LIF からアクセスできる必要があります。

  • このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

  • MetroCluster環境内:

    • 外部キー管理を有効にする前に、MetroCluster を完全に構成する必要があります。

    • 両方のクラスタに同じ KMIP SSL 証明書をインストールする必要があります。

    • 両方のクラスタで外部キーマネージャを設定する必要があります。

手順

  1. クラスタのキー管理ツールの接続を設定します。

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    メモ `security key-manager external enable`コマンドは、 `security key-manager setup`コマンドに代わるものです。クラスタログインプロンプトでコマンドを実行すると、 `admin_SVM`はデフォルトで現在のクラスタの管理SVMになります。 `security key-manager external modify`コマンドを実行して、外部キー管理の設定を変更できます。

    次のコマンドは、 `cluster1`の外部キー管理を3つの外部キーサーバで有効にします。最初のキーサーバはホスト名とポートを使用して指定され、2番目はIPアドレスとデフォルトポートを使用して指定され、3番目はIPv6アドレスとポートを使用して指定されます:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. SVMのキー管理ツールを設定します。

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    メモ

    • SVMログインプロンプトでコマンドを実行すると、 `SVM`デフォルトで現在のSVMが選択されます。 `security key-manager external modify`コマンドを実行して、外部キー管理設定を変更できます。

    • MetroCluster環境で、データSVMの外部キー管理を設定する場合、パートナークラスタで `security key-manager external enable`コマンドを繰り返す必要はありません。

    次のコマンドは、デフォルトのポート5696でリッスンする単一のキーサーバーで `svm1`の外部キー管理を有効にします:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. 最後の手順をその他のSVMに対して繰り返します。

    メモ 
    `security key-manager external add-servers`コマンドを使用して追加のSVMを設定することもできます。 `security key-manager external add-servers`コマンドは `security key-manager add`コマンドに代わるものです。link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-add-servers.html["ONTAPコマンド リファレンス"^]で `security key-manager external add-servers`の詳細をご覧ください。

  4. 設定したすべてのKMIPサーバが接続されていることを確認します。

    security key-manager external show-status -node node_name

    メモ 
    `security key-manager external show-status`コマンドは `security key-manager show -status`コマンドを置き換えます。link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["ONTAPコマンド リファレンス"^]の `security key-manager external show-status`の詳細を参照してください。
    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. 必要に応じて、プレーン テキスト ボリュームを暗号化されたボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。

関連情報