新しく追加されたONTAPノードでオンボードキー管理を有効にする
変更を提案
PDF
オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
|
ONTAP 9.6 以降では、クラスタにノードを追加するたびに `security key-manager onboard sync`コマンドを実行する必要があります。 ONTAP 9.5 以前では、クラスタにノードを追加するたびに `security key-manager setup`コマンドを実行する必要があります。 オンボードキー管理を使用してクラスタにノードを追加する場合は、このコマンドを実行して、不足しているキーを更新します。 |
MetroCluster構成を使用する場合は、次のガイドラインを確認してください。
-
ONTAP 9.6以降では、最初にローカルクラスタで `security key-manager onboard enable`を実行し、次にリモートクラスタで `security key-manager onboard sync`を実行する必要があります。それぞれで同じパスフレーズを使用してください。
`security key-manager onboard enable`および `security key-manager onboard sync`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+key-manager+onboard["ONTAPコマンド リファレンス"^]をご覧ください。
-
ONTAP 9.5 では、ローカルクラスタで `security key-manager setup`を実行し、リモートクラスタで `security key-manager setup -sync-metrocluster-config yes`を実行する必要があります。それぞれ同じパスフレーズを使用します。
-
ONTAP 9.5より前では、ローカルクラスタで `security key-manager setup`を実行し、約20秒待ってから、リモートクラスタで `security key-manager setup`を実行し、それぞれで同じパスフレーズを使用する必要があります。
デフォルトでは、ノードの再起動時にキーマネージャのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、 `-enable-cc-mode yes`オプションを使用して、再起動後にユーザーにパスフレーズの入力を要求できます。
NVE の場合、 `-enable-cc-mode yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。 `volume create`の場合、 `-encrypt true`を指定する必要はありません。 `volume move start`の場合、 `-encrypt-destination true`を指定する必要はありません。
|
|
パスフレーズの入力が失敗した場合は、ノードを再起動してください。再起動後、パスフレーズを再度入力してください。 |