Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP에서 클러스터된 외부 키 서버를 구성합니다

기여자 netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDF

ONTAP 9.11.1부터 SVM에서 클러스터링된 외부 키 관리 서버에 대한 연결을 구성할 수 있습니다. 클러스터형 키 서버를 사용하면 SVM에서 기본 키 서버와 보조 키 서버를 지정할 수 있습니다. ONTAP 키를 등록하거나 검색할 때 먼저 기본 키 서버에 액세스를 시도한 후 작업이 성공적으로 완료될 때까지 순차적으로 보조 서버에 액세스를 시도합니다.

NetApp Storage Encryption(NSE), NetApp Volume Encryption(NVE), NetApp Aggregate Encryption(NAE) 키에 외부 키 서버를 사용할 수 있습니다. SVM은 최대 4개의 기본 외부 KMIP 서버를 지원할 수 있습니다. 각 기본 서버는 최대 3개의 보조 키 서버를 지원할 수 있습니다.

이 작업에 대해
시작하기 전에

  • "SVM에 대해 KMIP 키 관리를 활성화해야 합니다".

  • 클러스터의 모든 노드에서 ONTAP 9.11.1 이상이 실행되고 있어야 합니다.

  • 서버 목록의 순서는 다음과 같습니다. -secondary-key-servers 매개변수는 외부 키 관리(KMIP) 서버의 액세스 순서를 반영합니다.

클러스터링된 키 서버를 생성합니다

구성 절차는 기본 키 서버를 구성했는지 여부에 따라 달라집니다.

SVM에 1차 및 2차 키 서버를 추가합니다
단계

  1. 클러스터(관리 SVM)에 대해 키 관리가 활성화되지 않았는지 확인하세요.

    security key-manager external show -vserver <svm_name>

    SVM에 이미 최대 4개의 기본 키 서버가 활성화되어 있는 경우 새 기본 키 서버를 추가하기 전에 기존 기본 키 서버 중 하나를 제거해야 합니다.

  2. 기본 키 관리자를 활성화합니다.

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • 포트를 지정하지 않으면 -key-servers 매개변수의 경우 기본 포트 5696이 사용됩니다.

      참고 실행 중이라면 security key-manager external enable MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다. NetApp 두 클러스터 모두에서 동일한 키 서버를 사용할 것을 강력히 권장합니다.

  3. 기본 키 서버를 수정하여 보조 키 서버를 추가합니다. 그만큼 -secondary-key-servers 매개변수는 최대 3개의 주요 서버를 쉼표로 구분하여 나열할 수 있습니다.

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • 보조 키 서버에 대한 포트 번호를 포함하지 마십시오. -secondary-key-servers 매개변수. 기본 키 서버와 동일한 포트 번호를 사용합니다.

      참고 실행 중이라면 security key-manager external MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다. NetApp 두 클러스터 모두에서 동일한 키 서버를 사용할 것을 강력히 권장합니다.
기존 기본 키 서버에 보조 키 서버를 추가합니다
단계

  1. 기본 키 서버를 수정하여 보조 키 서버를 추가합니다. 그만큼 -secondary-key-servers 매개변수는 최대 3개의 주요 서버를 쉼표로 구분하여 나열할 수 있습니다.

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • 보조 키 서버에 대한 포트 번호를 포함하지 마십시오. -secondary-key-servers 매개변수. 기본 키 서버와 동일한 포트 번호를 사용합니다.

      참고 실행 중이라면 security key-manager external modify-server MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다. NetApp 두 클러스터 모두에서 동일한 키 서버를 사용할 것을 강력히 권장합니다.

보조 키 서버에 대한 자세한 내용은 다음을 참조하세요. [mod-secondary].

클러스터링된 키 서버를 수정합니다

보조 키 서버를 추가 및 제거하고, 보조 키 서버의 액세스 순서를 변경하거나, 특정 키 서버의 지정(기본 또는 보조)을 변경하여 클러스터형 외부 키 서버를 수정할 수 있습니다. MetroCluster 구성에서 클러스터된 외부 키 서버를 수정하는 경우 NetApp 두 클러스터에서 동일한 키 서버를 사용할 것을 강력히 권장합니다.

보조 키 서버를 수정합니다

`security key-manager external modify-server`명령의 `-secondary-key-servers`  매개변수를 사용하여 보조 키 서버를 관리합니다. 그만큼 `-secondary-key-servers` 매개변수는 쉼표로 구분된 목록을 허용합니다. 목록에서 보조 키 서버의 지정된 순서는 보조 키 서버의 액세스 순서를 결정합니다. 보조 키 서버가 다른 순서로 입력된 상태에서  `security key-manager external modify-server` 명령을 실행하여 액세스 순서를 수정할 수 있습니다. 보조 키 서버에 대한 포트 번호를 포함하지 마세요.
참고 실행 중이라면 security key-manager external modify-server MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다.

보조 키 서버를 제거하려면 유지하려는 키 서버를 포함하세요. -secondary-key-servers 매개변수를 선택하고 제거하려는 매개변수는 생략합니다. 모든 보조 키 서버를 제거하려면 인수를 사용하세요. - , 없음을 의미합니다.

기본 및 보조 키 서버를 변환합니다

다음 단계에 따라 특정 키 서버의 지정(기본 또는 보조)을 변경할 수 있습니다.

기본 키 서버를 보조 키 서버로 변환
단계

  1. SVM에서 기본 키 서버를 제거합니다.

    security key-manager external remove-servers

    참고 실행 중이라면 security key-manager external remove-servers MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다.

  2. 수행하다클러스터링된 키 서버를 생성합니다 이전 기본 키 서버를 보조 키 서버로 사용하는 절차입니다.

보조 키 서버를 기본 키 서버로 변환
단계

  1. 기존 기본 키 서버에서 보조 키 서버를 제거합니다.

    security key-manager external modify-server -secondary-key-servers

  • 실행 중이라면 security key-manager external modify-server -secondary-key-servers MetroCluster 구성에서 관리 SVM에 대한 명령을 실행하려면 두 클러스터에서 모두 명령을 실행해야 합니다. 개별 데이터 SVM에 대해 명령을 실행하는 경우 두 클러스터 모두에서 명령을 실행할 필요는 없습니다.

  • 기존 키 서버를 제거하는 동안 보조 키 서버를 기본 키 서버로 변환하는 경우, 제거 및 변환을 완료하기 전에 새 키 서버를 추가하려고 하면 키 중복이 발생할 수 있습니다.

  1. 수행하다클러스터링된 키 서버를 생성합니다 이전 보조 키 서버를 새로운 클러스터형 키 서버의 기본 키 서버로 사용하는 절차입니다.

참조하다[mod-secondary] 자세한 내용은.

관련 정보