日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ブートプロセス時にキー管理サーバにアクセスできない場合

寄稿者 netapp-thomi

ブートプロセス時に NSE 用に構成されたストレージシステムが指定されたどのキー管理サーバにもアクセスできない場合、 ONTAP ではストレージシステムの望ましくない動作を回避するために、特定の予防措置を取ります。

ストレージシステムが NSE 用に設定されている場合、 SED のキーが変更されてロックされ、 SED の電源がオンになっているときは、ストレージシステムは、キー管理サーバから必要な認証キーを取得して SED に対して自身を認証し、データにアクセスできるようにする必要があります。

ストレージシステムは、指定されたキー管理サーバへのアクセスを最大 3 時間試行します。その時間が経過してもストレージシステムがどのキー管理サーバにもアクセスできない場合は、ブートプロセスが停止して、ストレージシステムも停止します。

ストレージシステムが指定されたいずれかのキー管理サーバに正常にアクセスできた場合は、 SSL 接続の確立を最大 15 分間試行します。ストレージシステムが指定されたどのキー管理サーバとも SSL 接続を確立できない場合は、ブートプロセスが停止して、ストレージシステムも停止します。

ストレージシステムがキー管理サーバへのアクセスと接続を試行している間、失敗したアクセス試行に関する詳細情報が CLI に表示されます。アクセスの試行は、 Ctrl+C キーを押すことによっていつでも中断できます

SED では、セキュリティ対策として、無許可のアクセス試行回数が制限されています。試行回数が上限に達すると、既存データへのアクセスが無効になります。ストレージシステムが指定されたどのキー管理サーバにもアクセスできず、適切な認証キーを取得できない場合は、デフォルトのキーを使用した認証のみ試行できます。この場合、認証が失敗したり、パニック状態になったりします。パニック状態になった場合に自動的にリブートするように設定されているストレージシステムはブートループに入り、 SED での認証が連続して失敗します。

仕様では、次のような場合にストレージシステムを停止して、認証の連続失敗回数の上限を超えたことが原因で SED が永続的にロックされても、ストレージシステムがブートループに入ったり、意図しないデータ損失が発生したりすることを回避します。ロックアウト保護の制限とタイプは、 SED の仕様とタイプによって異なります。

SED タイプ

ロックアウトされるまでの認証の連続失敗回数

安全制限に達したときのロックアウト保護タイプ

HDD

1024

永続的。適切な認証キーが再び使用可能になった場合でも、データをリカバリできません。

ファームウェアリビジョンが NA00 または NA01 の X440_PHM2800MCTO 800GB NSE SSD

5.

一時的。ロックアウトが有効になるのは、ディスクの電源が再投入されるまでです。

ファームウェアリビジョンが NA00 または NA01 の X577_PHM2800MCTO 800GB NSE SSD

5.

一時的。ロックアウトが有効になるのは、ディスクの電源が再投入されるまでです。

ファームウェアリビジョンが上記よりも高い X440_PHM2800MCTO 800GB NSE SSD

1024

永続的。適切な認証キーが再び使用可能になった場合でも、データをリカバリできません。

ファームウェアリビジョンが上記よりも高い X577_PHM2800MCTO 800GB NSE SSD

1024

永続的。適切な認証キーが再び使用可能になった場合でも、データをリカバリできません。

その他すべての SSD モデル

1024

永続的。適切な認証キーが再び使用可能になった場合でも、データをリカバリできません。

すべての SED タイプでは、認証が成功すると試行回数が 0 にリセットされます。

ストレージシステムが指定されたどのキー管理サーバにもアクセスできないために停止した場合は、引き続きストレージシステムのブートを試行する前に、通信エラーの原因を特定して修正しておく必要があります。