Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

既存のボリュームで暗号化を有効にする

共同作成者
PDF

既存のボリュームで暗号化を有効にするには、コマンドまたは `volume encryption conversion start`コマンドを使用し `volume move start`ます。

タスクの内容

  • ONTAP 9 3以降では、コマンドを使用して、既存のボリュームの暗号化を「インプレース」で有効にできます volume encryption conversion start。ボリュームを別の場所に移動する必要はありません。または、コマンドを使用することもできます volume move start

  • ONTAP 9 .2以前では、コマンドのみを使用して、既存のボリュームを移動して暗号化を有効にできます volume move start

volume encryption conversion startコマンドを使用して、既存のボリュームで暗号化を有効にする

ONTAP 9 3以降では、コマンドを使用して、既存のボリュームの暗号化を「インプレース」で有効にできます volume encryption conversion start。ボリュームを別の場所に移動する必要はありません。

変換処理を開始したら、完了する必要があります。処理中にパフォーマンスの問題が発生した場合は、コマンドを実行して処理を一時停止し、 volume encryption conversion resume`コマンドを実行して処理を再開できます `volume encryption conversion pause

メモ SnapLockボリュームの変換にはを使用できません volume encryption conversion start
手順

  1. 既存のボリュームで暗号化を有効にします。

    volume encryption conversion start -vserver SVM_name -volume volume_name

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、既存のボリュームで暗号化を有効にし `vol1`ます。

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    ボリュームの暗号化キーが作成されます。ボリュームのデータが暗号化されます。

  2. 変換処理のステータスを確認します。

    volume encryption conversion show

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、変換処理のステータスを表示します。

    cluster1::> volume encryption conversion show

Vserver   Volume   Start Time           Status
-------   ------   ------------------   ---------------------------
vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.

  3. 変換処理が完了したら、ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、上の暗号化されたボリュームを表示し `cluster1`ます。

    cluster1::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーを保存するために KMIP サーバを使用している場合、ボリュームを暗号化すると、 ONTAP によって暗号化キーがサーバに自動的に「プッシュ」されます。

volume move startコマンドを使用して既存のボリュームで暗号化を有効にする

コマンドを使用すると、既存のボリュームを移動して暗号化を有効にできます volume move start。ONTAP 9 .2以前ではを使用する必要があります volume move start。使用するアグリゲートは同じアグリゲートでも別のアグリゲートでもかまいません。

タスクの内容

  • ONTAP 9 .8以降では、を使用してSnapLockまたはFlexGroupのボリュームで暗号化を有効にでき `volume move start`ます。

  • ONTAP 9 .4以降では、オンボードキーマネージャのセットアップ時に「cc-mode」を有効にすると、コマンドで作成するボリュームが自動的に暗号化されます volume move start。指定する必要はありません -encrypt-destination true

  • ONTAP 9 6以降では、アグリゲートレベルの暗号化を使用して、移動するボリュームの包含アグリゲートにキーを割り当てることができます。一意のキーで暗号化されたボリュームは、_NVEボリューム_と呼ばれます(NetAppボリューム暗号化を使用することを意味します)。アグリゲートレベルのキーで暗号化されたボリュームは、 _NAE ボリューム( NetApp Aggregate Encryption の場合)と呼ばれます。NAEアグリゲートではプレーンテキストボリュームはサポートされません。

  • ONTAP 9 14.1以降では、NVEを使用してSVMルートボリュームを暗号化できます。詳細については、を参照してください SVMルートボリュームでのNetAppボリューム暗号化の設定

開始する前に

このタスクを実行するには、クラスタ管理者であるか、クラスタ管理者から権限を委譲されたSVM管理者である必要があります。

"volume moveコマンドの実行権限の委譲"

手順

  1. 既存のボリュームを移動し、そのボリュームで暗号化を有効にするかどうかを指定します。

    変換対象

    使用するコマンド

    プレーンテキストボリュームからNVEボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    NVEボリュームまたはプレーンテキストボリュームからNAEボリューム(デスティネーションでアグリゲートレベルの暗号化が有効になっている場合)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    NAEボリュームからNVEボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    NAEボリュームからプレーンテキスト ボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    NVEボリュームからプレーンテキストボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、という名前のプレーンテキストボリュームをNVEボリュームに変換し `vol1`ます。

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    次のコマンドは、デスティネーションでアグリゲートレベルの暗号化が有効になっている場合に、という名前のNVEボリュームまたはプレーンテキストボリュームをNAEボリュームに変換し `vol1`ます。

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    次のコマンドは、という名前のNAEボリュームをNVEボリュームに変換し `vol2`ます。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    次のコマンドは、という名前のNAEボリュームをプレーンテキストボリュームに変換し `vol2`ます。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    次のコマンドは、という名前のNVEボリュームをプレーンテキストボリュームに変換し `vol2`ます。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false

  2. クラスタボリュームの暗号化タイプを表示します。

    volume show -fields encryption-type none|volume|aggregate

    この `encryption-type`フィールドは、ONTAP 9 .6以降で使用できます。

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、のボリュームの暗号化タイプを表示します cluster2

    cluster2::> volume show -fields encryption-type

vserver  volume  encryption-type
-------  ------  ---------------
vs1      vol1    none
vs2      vol2    volume
vs3      vol3    aggregate

  3. ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    コマンド構文全体については、コマンドのマニュアルページを参照してください。

    次のコマンドは、上の暗号化されたボリュームを表示し `cluster2`ます。

    cluster2::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーの格納にKMIPサーバを使用している場合、ボリュームの暗号化時にONTAPからサーバに暗号化キーが自動的にプッシュされます。