既存のONTAPボリュームでNAEまたはNVEを有効にする
変更を提案
PDF
既存のボリュームで暗号化を有効にするには、 `volume move start`コマンドまたは `volume encryption conversion start`コマンドのいずれかを使用できます。
`volume encryption conversion start`コマンドを使用すると、ボリュームを別の場所に移動することなく、既存のボリュームの暗号化を「インプレース」で有効にできます。または、 `volume move start`コマンドを使用することもできます。
volume encryption conversion startコマンドを使用した既存のボリュームに対する暗号化の有効化
`volume encryption conversion start`コマンドを使用すると、ボリュームを別の場所に移動しなくても、既存のボリュームの暗号化を「その場で」有効にすることができます。
変換操作を開始したら、必ず完了させてください。操作中にパフォーマンスの問題が発生した場合は、 volume encryption conversion pause コマンドを実行して操作を一時停止し、 volume encryption conversion resume コマンドを実行して操作を再開することができます。
|
`volume encryption conversion start`を使用してSnapLockボリュームを変換することはできません。 |
-
既存のボリュームで暗号化を有効にします。
volume encryption conversion start -vserver SVM_name -volume volume_name`volume encryption conversion start`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-encryption-conversion-start.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、既存のボリューム `vol1`の暗号化を有効にします:
cluster1::> volume encryption conversion start -vserver vs1 -volume vol1
ボリュームの暗号化キーが作成されます。ボリュームのデータが暗号化されます。
-
変換処理のステータスを確認します。
volume encryption conversion show`volume encryption conversion show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-encryption-conversion-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、変換処理のステータスを表示します。
cluster1::> volume encryption conversion show Vserver Volume Start Time Status ------- ------ ------------------ --------------------------- vs1 vol1 9/18/2017 17:51:41 Phase 2 of 2 is in progress.
-
変換処理が完了したら、ボリュームで暗号化が有効になっていることを確認します。
volume show -is-encrypted true`volume show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、 `cluster1`の暗号化されたボリュームを表示します:
cluster1::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
KMIP サーバーを使用してノードの暗号化キーを保存している場合、ボリュームを暗号化すると、ONTAP は自動的に暗号化キーをサーバーに「プッシュ」します。
volume move startコマンドを使用した既存のボリュームに対する暗号化の有効化
`volume move start`コマンドを使用して、既存のボリュームを移動することで暗号化を有効にすることができます。同じアグリゲートを使用することも、別のアグリゲートを使用することもできます。
-
ONTAP 9.8以降では、 `volume move start`を使用してSnapLockまたはFlexGroupボリュームの暗号化を有効にすることができます。
-
ONTAP 9.4以降では、オンボードキーマネージャのセットアップ時に「
cc-mode」を有効にすると、 `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。 `-encrypt-destination true`を指定する必要はありません。 -
ONTAP 9.6以降では、アグリゲートレベルの暗号化を使用して、移動するボリュームの包含アグリゲートにキーを割り当てることができます。一意のキーで暗号化されたボリュームは、NVEボリューム(NetAppボリューム暗号化を使用していることを意味します)と呼ばれます。アグリゲートレベルのキーで暗号化されたボリュームは、NAEボリューム(NetAppアグリゲート暗号化の略)と呼ばれます。プレーンテキストボリュームはNAEアグリゲートではサポートされていません。
-
ONTAP 9.14.1以降では、SVMルートボリュームをNVEで暗号化できます。詳細については、SVMルート ボリュームでのNetApp Volume Encryptionの設定を参照してください。
このタスクを実行するには、クラスタ管理者であるか、クラスタ管理者から権限を委譲されたSVM管理者である必要があります。
-
既存のボリュームを移動し、そのボリュームで暗号化を有効にするかどうかを指定します。
変換するには…
使用するコマンド
プレーンテキスト ボリュームからNVEボリューム
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination trueNVEボリュームまたはプレーンテキスト ボリュームからNAEボリューム(デスティネーションでアグリゲートレベルの暗号化が有効になっている場合)
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key trueNAEボリュームからNVEボリューム
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key falseNAEボリュームからプレーンテキスト ボリューム
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key falseNVEボリュームからプレーンテキスト ボリューム
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false`volume move start`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-move-start.html["ONTAPコマンド リファレンス"^]を参照してください。
次のコマンドは、 `vol1`という名前のプレーンテキストボリュームをNVEボリュームに変換します:
cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true
宛先でアグリゲートレベルの暗号化が有効になっていると仮定すると、次のコマンドは、 `vol1`という名前の NVE またはプレーンテキストボリュームを NAE ボリュームに変換します:
cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true
次のコマンドは、 `vol2`という名前の NAE ボリュームを NVE ボリュームに変換します:
cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false
次のコマンドは、 `vol2`という名前の NAE ボリュームをプレーンテキストボリュームに変換します:
cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false
次のコマンドは、 `vol2`という名前の NVE ボリュームをプレーンテキスト ボリュームに変換します:
cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
-
クラスタのボリュームの暗号化タイプを表示します。
volume show -fields encryption-type none|volume|aggregateこの `encryption-type`フィールドは ONTAP 9.6 以降で使用できます。
`volume show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、 `cluster2`のボリュームの暗号化タイプを表示します:
cluster2::> volume show -fields encryption-type vserver volume encryption-type ------- ------ --------------- vs1 vol1 none vs2 vol2 volume vs3 vol3 aggregate
-
ボリュームで暗号化が有効になっていることを確認します。
volume show -is-encrypted true`volume show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/volume-show.html["ONTAPコマンド リファレンス"^]をご覧ください。
次のコマンドは、 `cluster2`の暗号化されたボリュームを表示します:
cluster2::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
ノードの暗号化キーの格納にKMIPサーバを使用している場合は、ボリュームを暗号化すると暗号化キーがサーバに自動的にプッシュされます。