Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 9.6 이상(NVE)에서 외부 키 관리 지원

기여자
PDF

하나 이상의 KMIP 서버를 사용하여 클러스터에서 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. ONTAP 9.6부터는 데이터 SVM이 암호화된 데이터에 액세스하는 데 사용하는 키를 보호하기 위해 별도의 외부 키 관리자를 구성할 수 있습니다.

ONTAP 9.11.1부터 기본 키 서버당 최대 3개의 보조 키 서버를 추가하여 클러스터된 키 서버를 생성할 수 있습니다. 자세한 내용은 을 참조하십시오 클러스터링된 외부 키 서버를 구성합니다.

이 작업에 대해

최대 4개의 KMIP 서버를 클러스터 또는 SVM에 연결할 수 있습니다. 이중화 및 재해 복구를 위해 최소 2대의 서버를 사용하는 것이 좋습니다.

외부 키 관리 범위에 따라 주요 관리 서버가 클러스터의 모든 SVM을 보호할지 또는 선택한 SVM에만 안전할지 여부가 결정됩니다.

  • 클러스터 범위 _ 를 사용하여 클러스터의 모든 SVM에 대한 외부 키 관리를 구성할 수 있습니다. 클러스터 관리자는 서버에 저장된 모든 키에 액세스할 수 있습니다.

  • ONTAP 9.6부터는 _SVM SCOPE_를 사용하여 클러스터의 데이터 SVM을 위한 외부 키 관리를 구성할 수 있습니다. 이는 각 테넌트가 서로 다른 SVM(또는 SVM 세트)을 사용하여 데이터를 제공하는 멀티테넌트 환경에 가장 적합합니다. 지정된 테넌트의 SVM 관리자만 해당 테넌트의 키에 액세스할 수 있습니다.

  • 멀티테넌트 환경의 경우 다음 명령을 사용하여 _MT_EK_MGMT_에 대한 라이센스를 설치합니다.

    'System license add-license-code <MT_EK_MGMT license code>'

    전체 명령 구문은 명령에 대한 man 페이지를 참조하십시오.

동일한 클러스터에서 두 범위를 모두 사용할 수 있습니다. SVM용으로 키 관리 서버를 구성한 경우 ONTAP에서는 이러한 서버만 사용하여 키를 보호합니다. 그렇지 않으면 ONTAP는 클러스터에 구성된 키 관리 서버로 키를 보호합니다.

클러스터 범위에서 온보드 키 관리를 구성하고 SVM 범위에서 외부 키 관리를 구성할 수 있습니다. 'Security key-manager key migrate' 명령을 사용하여 클러스터 범위의 온보드 키 관리에서 SVM 범위의 외부 키 관리자로 키를 마이그레이션할 수 있습니다.

시작하기 전에

  • KMIP SSL 클라이언트 및 서버 인증서를 설치해야 합니다.

  • 이 작업을 수행하려면 클러스터 또는 SVM 관리자여야 합니다.

  • MetroCluster 환경에 대해 외부 키 관리를 활성화하려면 외부 키 관리를 활성화하기 전에 MetroCluster를 완전히 구성해야 합니다.

  • MetroCluster 환경에서는 두 클러스터 모두에 KMIP SSL 인증서를 설치해야 합니다.

단계

  1. 클러스터의 Key Manager 접속 구성:

    'Security key-manager external enable - vserver admin_SVM-key-servers host_name | ip_address: port,…​ -client-cert client_certificate-server-ca-cert server_CA_certificates'를 참조하십시오

    참고

    • 를 클릭합니다 security key-manager external enable 명령이 을 대체합니다 security key-manager setup 명령. 클러스터 로그인 프롬프트에서 명령을 실행하면 admin_SVM 기본값은 현재 클러스터의 관리 SVM입니다. 클러스터 범위를 구성하려면 클러스터 관리자여야 합니다. 를 실행할 수 있습니다 security key-manager external modify 외부 키 관리 구성을 변경하는 명령입니다.

    • MetroCluster 환경에서 관리 SVM에 대한 외부 키 관리를 구성하는 경우 를 반복해야 합니다 security key-manager external enable 명령을 파트너 클러스터에 표시합니다.

    다음 명령을 실행하면 외부 키 서버가 3개인 'cluster1'에 대한 외부 키 관리가 활성화됩니다. 첫 번째 키 서버는 호스트 이름과 포트를 사용하여 지정되고, 두 번째 키는 IP 주소와 기본 포트를 사용하여 지정되며, 세 번째 키는 IPv6 주소와 포트를 사용하여 지정됩니다.

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. SVM을 위한 키 관리자 구성:

    'Security key-manager external enable - vserver SVM-key-servers host_name | ip_address: port,…​ -client-cert client_certificate-server-ca-cert server_CA_certificates'를 참조하십시오

    참고

    • SVM 로그인 프롬프트에서 명령을 실행하면 기본적으로 'VM'이 현재 SVM으로 설정됩니다. SVM 범위를 구성하려면 클러스터 또는 SVM 관리자여야 합니다. 'Security key-manager external modify' 명령어를 실행하여 외부 키 관리 설정을 변경할 수 있다.

    • MetroCluster 환경에서 데이터 SVM을 위한 외부 키 관리를 구성하는 경우 를 반복할 필요가 없습니다 security key-manager external enable 명령을 파트너 클러스터에 표시합니다.

    다음 명령을 실행하면 기본 포트 5696에서 단일 키 서버가 수신 대기하는 'vm1'에 대한 외부 키 관리가 활성화됩니다.

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. 추가 SVM에 대해 마지막 단계를 반복합니다.

    참고

    또한 'Security key-manager external add-servers' 명령을 사용하여 추가 SVM을 구성할 수도 있습니다. 보안 키 관리자 외부 서버 명령은 보안 키 관리자 추가 명령을 대체합니다. 전체 명령 구문은 man 페이지를 참조하십시오.

  4. 구성된 모든 KMIP 서버가 연결되어 있는지 확인합니다.

    'Security key-manager external show-status-node node_name'입니다

    참고

    보안 키-관리자 외부 show-status 명령은 보안 키-관리자 show-status 명령을 대체합니다. 전체 명령 구문은 man 페이지를 참조하십시오.

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. 필요한 경우 일반 텍스트 볼륨을 암호화된 볼륨으로 변환합니다.

    volume encryption conversion start

    볼륨을 변환하기 전에 외부 키 관리자를 완전히 구성해야 합니다. MetroCluster 환경에서는 외부 키 관리자를 두 사이트에 모두 구성해야 합니다.