Skip to main content
Cloud Volumes ONTAP
모든 클라우드 공급자
  • Amazon Web Services에서 직접 지원합니다
  • Google 클라우드
  • Microsoft Azure를 참조하십시오
  • 모든 클라우드 공급자
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Google Cloud KMS를 사용하여 Cloud Volumes ONTAP 암호화 키를 관리합니다

기여자 netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDF

를 사용하면 Google Cloud Platform에 구축된 애플리케이션에서 Cloud Volumes ONTAP 암호화 키를 보호할 수 "Google Cloud Platform의 키 관리 서비스(Cloud KMS)"있습니다.

클라우드 KMS를 이용한 키 관리 기능은 ONTAP CLI 또는 ONTAP REST API를 사용하여 활성화할 수 있습니다.

Cloud KMS를 사용할 때는 기본적으로 데이터 SVM의 LIF가 클라우드 키 관리 엔드포인트와 통신하는 데 사용됩니다. 노드 관리 네트워크는 클라우드 공급자의 인증 서비스(oauth2.googleapis.com 통신하는 데 사용됩니다. 클러스터 네트워크가 올바르게 구성되지 않은 경우 클러스터는 키 관리 서비스를 제대로 사용하지 않습니다.

시작하기 전에

  • 시스템에서는 Cloud Volumes ONTAP 9.10.1 이상을 실행해야 합니다.

  • 데이터 SVM을 사용해야 합니다. Cloud KMS는 데이터 SVM에서만 구성할 수 있습니다.

  • 클러스터 또는 SVM 관리자여야 합니다

  • SVM에 볼륨 암호화(VE) 라이선스를 설치해야 합니다.

  • Cloud Volumes ONTAP 9.12.1 GA부터 다중 테넌트 암호화 키 관리(MTEKM) 라이선스도 설치해야 합니다.

  • 활성화된 Google Cloud Platform 구독이 필요합니다.

구성

Google 클라우드

  1. Google Cloud 환경에서는 "대칭 GCP 키 링 및 키를 생성합니다".

  2. Cloud KMS 키와 Cloud Volumes ONTAP 서비스 계정에 사용자 지정 역할을 할당합니다.

    1. 사용자 지정 역할을 만듭니다.

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. 생성한 사용자 지정 역할을 할당합니다.
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      참고 Cloud Volumes ONTAP 9.13.0 이상을 사용하는 경우 사용자 지정 역할을 만들 필요가 없습니다. [cloudkms.cryptoKeyEncrypterDecrypter ^] 역할.

  3. 서비스 계정 JSON 키 다운로드:'gcloud iam service-accounts key create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. 기본 SSH 클라이언트를 사용하여 클러스터 관리 LIF에 연결합니다.

  2. 고급 권한 수준 설정 고급 으로 전환합니다

  3. 데이터 SVM을 위한 DNS를 생성합니다. dns create-domain c.<project>.internal -name-servers_server_address_-vserver_SVM_name_'을 선택합니다

  4. CMEK 항목 생성:'Security key-manager external GCP enable-vserver_SVM_name_-project-id_project_-key-ring-name_key_ring_name_-key-ring-location_location_-key-name_key_key_key_key_name_'입니다

  5. 메시지가 표시되면 GCP 계정의 서비스 계정 JSON 키를 입력합니다.

  6. 활성화된 프로세스가 성공했는지 확인합니다. '보안 키 - 관리자 외부 GCP 검사 - vserver_svm_name_'

  7. 선택 사항: 암호화 'vol create_volume_name_-aggregate_aggregate_-vserver_vserver_name_-size 10G'를 테스트할 볼륨을 생성합니다

문제 해결

문제를 해결해야 하는 경우 위의 마지막 두 단계에서 원시 REST API 로그를 지정할 수 있습니다.

  1. '세트 d'

  2. 'systemshell-node_node_-command tail -f /mroot /etc/log/mlog/kmip2_client.log'