Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

암호화 복원 - AFF A1K

기여자
PDF

이 절차의 시작 부분에서 캡처한 설정을 사용하여 온보드 키 관리자(OKM), NSE(NetApp 스토리지 암호화) 또는 NVE(NetApp 볼륨 암호화)가 활성화된 시스템별 단계를 완료해야 합니다.

참고 NSE 또는 NVE가 온보드 또는 외부 키 관리자와 함께 활성화되어 있는 경우 이 절차를 시작할 때 캡처한 설정을 복원해야 합니다.
단계

  1. 콘솔 케이블을 대상 컨트롤러에 연결합니다.

옵션 1: 온보드 키 관리자 서버 구성이 있는 시스템

ONATP 부팅 메뉴에서 온보드 키 관리자 구성을 복원합니다.

시작하기 전에

OKM 구성을 복원하는 동안 다음 정보가 필요합니다.

단계

  1. ONTAP 부팅 메뉴에서 옵션 10:

    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? _10_

  2. 프로세스의 계속성을 확인합니다. This option must be used only in disaster recovery procedures. Are you sure? (y or n): y

  3. 클러스터 전체의 암호를 두 번 입력합니다.

    참고 암호문을 입력하는 동안 콘솔에 아무 입력도 표시되지 않습니다.

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  4. 백업 정보를 입력합니다. 시작 백업 라인의 전체 컨텐츠를 백업 종료 라인을 통해 붙여 넣습니다.

    입력 끝에 있는 Enter 키를 두 번 누릅니다.

    Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

  5. 복구 프로세스가 완료됩니다.

    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************
    경고 표시된 출력이 과(와) 다른 경우 계속 진행하지 마십시오. Successfully recovered keymanager secrets 문제 해결을 수행하여 오류를 수정합니다.

  6. 부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.

    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. 컨트롤러의 콘솔에 가 표시되는지 확인합니다 Waiting for giveback…​(Press Ctrl-C to abort wait)

  8. 파트너 노드에서 파트너 컨트롤러를 반환하십시오. _ 스토리지 페일오버 반환 - fromnode local-only-CFO-aggregates true _

  9. CFO 애그리게이트에서만 부팅한 후 security key-manager 온보드 sync​​​​​​​ 명령을 실행합니다.

  10. Onboard Key Manager의 클러스터 전체 암호 입력:

    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.

  11. 모든 키가 동기화되었는지 확인합니다. _security key-manager key query-restored false_입니다

    There are no entries matching your query.

    참고 복원된 매개 변수에서 false를 필터링할 때 결과가 나타나지 않습니다.

  12. 파트너에서 노드를 반환:_스토리지 페일오버 반환 - fromnode local _

옵션 2: 외부 키 관리자 서버 구성이 있는 시스템

ONATP 부팅 메뉴에서 외부 키 관리자 구성을 복원합니다.

시작하기 전에

EKM(External Key Manager) 구성을 복원하려면 다음 정보가 필요합니다.

  • 다른 클러스터 노드에서 /cfcard/KMIP/servers.cfg 파일의 복사본 또는 다음 정보가 필요합니다.

  • KMIP 서버 주소입니다.

  • KMIP 포트입니다.

  • 다른 클러스터 노드 또는 클라이언트 인증서의 /cfcard/kMIP/certs/client.crt 파일 사본.

  • 다른 클러스터 노드에서 /cfcard/kMIP/certs/client.key 파일의 복사본 또는 클라이언트 키

  • 다른 클러스터 노드 또는 KMIP 서버 CA의 /cfcard/kMIP/certs/CA.pem 파일 사본.

단계

  1. ONTAP 부팅 메뉴에서 옵션 11 을 선택합니다.

    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  2. 메시지가 표시되면 필요한 정보를 수집했는지 확인합니다.

    1. Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} y

    2. Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} y

    3. Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} y

    4. Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n} y

      대신 다음과 같은 메시지가 표시될 수도 있습니다.

    5. Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n} _n _

      1. Do you know the KMIP server address? {y/n} y

      2. Do you know the KMIP Port? {y/n} y

  3. 각 프롬프트에 대한 정보를 제공합니다.

    1. Enter the client certificate (client.crt) file contents:

    2. Enter the client key (client.key) file contents:

    3. Enter the KMIP server CA(s) (CA.pem) file contents:

    4. Enter the server configuration (servers.cfg) file contents:

      Example

Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT
MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l
MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap
Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si
Fp8=
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
MIIEpQIBAAKCAQEAoU1eajEG6QC2h2Zih0jEaGVtQUexNeoCFwKPoMSePmjDNtrU
MSB1SlX3VgCuElHk57XPdq6xSbYlbkIb4bAgLztHEmUDOkGmXYAkblQ=
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx
7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94
EQBKG1NY8dVyjphmYZv+
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M
​​​​​​

  4. 복구 프로세스가 완료됩니다.

    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
[Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. 부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.

    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

부팅 미디어 교체를 완료합니다

일반 부팅 후 최종 검사를 완료하고 저장 공간을 되돌려 부팅 미디어 교체 프로세스를 완료합니다.

  1. 콘솔 출력을 확인합니다.

    콘솔에 다음이 표시되는 경우…​ 그러면…​

    로그인 프롬프트

    6단계로 이동합니다.

    반환 대기 중…​

    1. 파트너 컨트롤러에 로그인합니다.

    2. _storage failover show_명령을 사용하여 타겟 컨트롤러가 반환 준비가 되었는지 확인합니다.

  2. 콘솔 케이블을 파트너 컨트롤러로 이동하고 storage failover -fromnode local-only -CFO-aggregates true 명령을 사용하여 타겟 컨트롤러 스토리지를 되돌립니다.

    • 디스크에 오류가 발생하여 명령이 실패하면 장애가 발생한 디스크를 물리적으로 분리하되, 교체 디스크를 받을 때까지 디스크를 슬롯에 그대로 둡니다.

    • 파트너가 "준비되지 않음"으로 인해 명령이 실패하는 경우 파트너 간에 HA 하위 시스템이 동기화될 때까지 5분 동안 기다립니다.

    • NDMP, SnapMirror 또는 SnapVault 프로세스로 인해 명령이 실패하면 프로세스를 해제합니다. 자세한 내용은 해당 문서 센터를 참조하십시오.

  3. 3분 동안 기다린 후 _storage failover show_command를 사용하여 페일오버 상태를 확인합니다.

  4. clustershell 프롬프트에서 _network interface show -is -home false_명령을 입력하여 홈 컨트롤러와 포트에 없는 논리 인터페이스를 나열합니다.

    인터페이스가 로 나열된 경우 `false`net int revert -vserver Cluster -lif_nodename 명령을 사용하여 해당 인터페이스를 홈 포트로 되돌립니다.

  5. 콘솔 케이블을 대상 컨트롤러로 이동하고 version -v 명령을 실행하여 ONTAP 버전을 확인합니다.

  6. 를 사용하여 storage encryption disk show 출력을 검토합니다.

  7. 키 관리 서버에 저장된 인증 키의 키 ID를 표시하려면 _security key-manager key query_명령을 사용하십시오.

    • 'restored' 칼럼이 'yes/true'인 경우, 사용자는 모두 완료되어 교체 프로세스를 완료할 수 있습니다.

    • = 및 칼럼 = 이외의 값이면 Key Manager type external Restored `yes/true`_security key-manager external restore_명령을 사용하여 인증 키의 키 ID를 복원합니다.

      참고 명령이 실패하면 고객 지원 센터에 문의하십시오.

    • = 및 칼럼 = 이외의 값이면 Key Manager type onboard Restored `yes/true`_security key-manager 온보드 sync_명령을 사용하여 복구된 노드에서 누락된 온보드 키를 동기화합니다.

      security key-manager key query_command 를 사용하여 Restored 모든 인증 키에 대해 칼럼= yes/true 을(를) 확인하십시오.

  8. 콘솔 케이블을 파트너 컨트롤러에 연결합니다.

  9. 'storage failover -fromnode local' 명령을 사용하여 컨트롤러를 반환하십시오.

  10. storage failover modify -node local -auto -giving true_명령을 사용하여 자동 반환을 사용하지 않도록 설정한 경우 복원

  11. AutoSupport가 활성화된 경우 _SYSTEM NODE AutoSupport invoke -node * -type all-message MAINT=end_command를 사용하여 자동 케이스 생성을 복원/억제 해제합니다.