Skip to main content
모든 클라우드 제공업체
  • 아마존 웹 서비스
  • 구글 클라우드
  • 마이크로소프트 애저
  • 모든 클라우드 제공업체
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Google Cloud KMS를 사용하여 Cloud Volumes ONTAP 암호화 키 관리

기여자 netapp-manini
PDF

사용할 수 있습니다"Google Cloud Platform의 키 관리 서비스(Cloud KMS)" Google Cloud Platform에 배포된 애플리케이션에서 Cloud Volumes ONTAP 암호화 키를 보호합니다.

Cloud KMS를 사용한 키 관리 기능은 ONTAP CLI 또는 ONTAP REST API를 통해 활성화할 수 있습니다.

Cloud KMS를 사용할 때 기본적으로 데이터 SVM의 LIF가 클라우드 키 관리 엔드포인트와 통신하는 데 사용된다는 점에 유의하세요. 노드 관리 네트워크는 클라우드 공급자의 인증 서비스(oauth2.googleapis.com)와 통신하는 데 사용됩니다. 클러스터 네트워크가 올바르게 구성되지 않으면 클러스터가 키 관리 서비스를 제대로 활용하지 못합니다.

시작하기 전에

  • 시스템에서는 Cloud Volumes ONTAP 9.10.1 이상을 실행해야 합니다.

  • 데이터 SVM을 사용해야 합니다. Cloud KMS는 데이터 SVM에서만 구성할 수 있습니다.

  • 클러스터 또는 SVM 관리자여야 합니다.

  • SVM에 볼륨 암호화(VE) 라이선스를 설치해야 합니다.

  • Cloud Volumes ONTAP 9.12.1 GA부터 다중 테넌트 암호화 키 관리(MTEKM) 라이선스도 설치해야 합니다.

  • 활성화된 Google Cloud Platform 구독이 필요합니다.

구성

구글 클라우드

  1. Google Cloud 환경에서"대칭 GCP 키 링과 키를 생성합니다." .

  2. Cloud KMS 키와 Cloud Volumes ONTAP 서비스 계정에 사용자 지정 역할을 할당합니다.

    1. 사용자 정의 역할을 만듭니다.

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. 생성한 사용자 지정 역할을 할당합니다.
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      참고 Cloud Volumes ONTAP 9.13.0 이상을 사용하는 경우 사용자 지정 역할을 만들 필요가 없습니다. 미리 정의된 것을 할당할 수 있습니다[cloudkms.cryptoKeyEncrypterDecrypter ^] 역할.

  3. 서비스 계정 JSON 키 다운로드:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. 원하는 SSH 클라이언트를 사용하여 클러스터 관리 LIF에 연결합니다.

  2. 고급 권한 수준으로 전환:
    set -privilege advanced

  3. 데이터 SVM에 대한 DNS를 생성합니다.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. CMEK 항목 생성:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. 메시지가 표시되면 GCP 계정의 서비스 계정 JSON 키를 입력합니다.

  6. 활성화된 프로세스가 성공했는지 확인하세요.
    security key-manager external gcp check -vserver svm_name

  7. 선택 사항: 암호화를 테스트하기 위한 볼륨 생성 vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

문제 해결

문제 해결이 필요한 경우 위의 마지막 두 단계에서 원시 REST API 로그를 추적할 수 있습니다.

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log