Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

既存のボリュームで暗号化を有効にする

共同作成者

どちらかを使用できます volume move start または volume encryption conversion start コマンドを使用して、既存のボリュームで暗号化を有効にします。

このタスクについて
  • ONTAP 9.3以降では、を使用できます volume encryption conversion start 既存のボリュームの暗号化を「インプレース」で有効にするコマンド。ボリュームを別の場所に移動する必要はありません。または、 volume move start コマンドを実行します

  • ONTAP 9.2以前では、 volume move start コマンドを使用して既存のボリュームを移動して暗号化を有効にします。

volume encryption conversion start コマンドを使用して既存のボリュームの暗号化を有効にします

ONTAP 9.3以降では、を使用できます volume encryption conversion start 既存のボリュームの暗号化を「インプレース」で有効にするコマンド。ボリュームを別の場所に移動する必要はありません。

変換処理を開始したら、完了する必要があります。処理中にパフォーマンス問題 が発生した場合は、を実行できます volume encryption conversion pause 処理を一時停止するコマンド、および volume encryption conversion resume コマンドを実行して処理を再開します。

メモ を使用することはできません volume encryption conversion start SnapLock ボリュームを変換します。
手順
  1. 既存のボリュームで暗号化を有効にします。

    volume encryption conversion start -vserver SVM_name -volume volume_name

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、既存のボリュームで暗号化を有効にします。 vol1

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    ボリュームの暗号化キーが作成されます。ボリュームのデータが暗号化されます。

  2. 変換処理のステータスを確認します。

    volume encryption conversion show

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、変換処理のステータスを表示します。

    cluster1::> volume encryption conversion show
    
    Vserver   Volume   Start Time           Status
    -------   ------   ------------------   ---------------------------
    vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.
  3. 変換処理が完了したら、ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、の暗号化されたボリュームを表示します cluster1

    cluster1::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーを保存するために KMIP サーバを使用している場合、ボリュームを暗号化すると、 ONTAP によって暗号化キーがサーバに自動的に「プッシュ」されます。

volume move start コマンドを使用して、既存のボリュームの暗号化を有効にします

を使用できます volume move start コマンドを使用して既存のボリュームを移動して暗号化を有効にします。を使用する必要があります volume move start ONTAP 9.2以前では、使用するアグリゲートは同じアグリゲートでも別のアグリゲートでもかまいません。

このタスクについて
  • ONTAP 9.8以降では、を使用できます volume move start SnapLock またはFlexGroup ボリュームで暗号化を有効にします。

  • ONTAP 9.4以降では、オンボードキーマネージャのセットアップ時に「cc-mode」を有効にすると、を使用してボリュームを作成できます volume move start コマンドは自動的に暗号化されます。指定する必要はありません -encrypt-destination true

  • ONTAP 9.6 以降では、アグリゲートレベルの暗号化を使用して、移動するボリュームの包含アグリゲートにキーを割り当てることができます。一意のキーで暗号化されたボリュームは、_NVEボリューム_と呼ばれます(NetAppボリューム暗号化を使用することを意味します)。アグリゲートレベルのキーで暗号化されたボリュームは、 _NAE ボリューム( NetApp Aggregate Encryption の場合)と呼ばれます。NAE アグリゲートではプレーンテキストボリュームがサポートされません。

  • ONTAP 9.14.1以降では、NVEでSVMルートボリュームを暗号化できます。詳細については、を参照してください SVMルートボリュームでのNetAppボリューム暗号化の設定

作業を開始する前に

このタスクを実行するには、クラスタ管理者であるか、クラスタ管理者から権限を委譲された SVM 管理者である必要があります。

手順
  1. 既存のボリュームを移動し、そのボリュームで暗号化を有効にするかどうかを指定します。

    変換対象

    使用するコマンド

    プレーンテキストボリュームから NVE ボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    NVE ボリュームまたはプレーンテキストボリュームから NAE ボリューム(デスティネーションでアグリゲートレベルの暗号化が有効になっている場合)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    NAE ボリュームから NVE ボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    NAE ボリュームからプレーンテキストボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    NVEボリュームからプレーンテキストボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、という名前のプレーンテキストボリュームを変換します vol1 NVEボリュームへの移動:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    次のコマンドは、デスティネーションでアグリゲートレベルの暗号化が有効になっている場合に、という名前のNVEボリュームまたはプレーンテキストボリュームを変換します vol1 NAEボリュームへ:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    次のコマンドは、という名前のNAEボリュームを変換します vol2 NVEボリュームへの移動:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    次のコマンドは、という名前のNAEボリュームを変換します vol2 プレーンテキストボリュームへ:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    次のコマンドは、次の名前のNVEボリュームを変換します。 vol2 プレーンテキストボリュームへ:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
  2. クラスタボリュームの暗号化タイプを表示します。

    volume show -fields encryption-type none|volume|aggregate

    encryption-type フィールドはONTAP 9.6以降で使用できます。

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、のボリュームの暗号化タイプを表示します cluster2

    cluster2::> volume show -fields encryption-type
    
    vserver  volume  encryption-type
    -------  ------  ---------------
    vs1      vol1    none
    vs2      vol2    volume
    vs3      vol3    aggregate
  3. ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、の暗号化されたボリュームを表示します cluster2

    cluster2::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーの格納にKMIPサーバを使用している場合、ボリュームの暗号化時にONTAPからサーバに暗号化キーが自動的にプッシュされます。