ONTAP 9.6 이상(HW 기반)에서 외부 키 관리 활성화
변경 제안
PDF
하나 이상의 KMIP 서버를 사용하여 클러스터에서 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. 하나의 노드에 KMIP 서버를 최대 4개까지 연결할 수 있습니다. 이중화 및 재해 복구를 위해 최소 2대의 서버를 사용하는 것이 좋습니다.
ONTAP 9.11.1부터 기본 키 서버당 최대 3개의 보조 키 서버를 추가하여 클러스터된 키 서버를 만들 수 있습니다. 자세한 내용은 을 참조하십시오 클러스터링된 외부 키 서버를 구성합니다.
-
KMIP SSL 클라이언트 및 서버 인증서를 설치해야 합니다.
-
이 작업을 수행하려면 클러스터 관리자여야 합니다.
-
외부 키 관리자를 구성하기 전에 MetroCluster 환경을 구성해야 합니다.
-
MetroCluster 환경에서는 두 클러스터에 동일한 KMIP SSL 인증서를 설치해야 합니다.
-
클러스터의 Key Manager 접속 구성:
"+ 보안 키 관리자 외부 활성화 - vserver admin_SVM-key-servers host_name | ip_address:port,… -client-cert client_certificate-server-ca-cert server_CA_certificates+'
-
보안 키 관리자 외부 활성화 명령은 보안 키 관리자 설정 명령을 대체합니다. 'Security key-manager external modify' 명령어를 실행하여 외부 키 관리 설정을 변경할 수 있다. 전체 명령 구문은 man 페이지를 참조하십시오.
-
MetroCluster 환경에서 관리 SVM에 대한 외부 키 관리를 구성하는 경우 를 반복해야 합니다
security key-manager external enable명령을 파트너 클러스터에 표시합니다.
다음 명령을 실행하면 외부 키 서버가 3개인 'cluster1'에 대한 외부 키 관리가 활성화됩니다. 첫 번째 키 서버는 호스트 이름과 포트를 사용하여 지정되고, 두 번째 키는 IP 주소와 기본 포트를 사용하여 지정되며, 세 번째 키는 IPv6 주소와 포트를 사용하여 지정됩니다.
clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
구성된 모든 KMIP 서버가 연결되어 있는지 확인합니다.
'Security key-manager external show-status-node_name-vserver SVM-key-server host_name|ip_address:port-key-server-status available|not-responding|unknown'
보안 키-관리자 외부 show-status 명령은 보안 키-관리자 show-status 명령을 대체합니다. 전체 명령 구문은 man 페이지를 참조하십시오.
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 6 entries were displayed.