Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Recuperação automatizada de mídia de inicialização do nó parceiro - FAS2800

Colaboradores dougthomp netapp-jsnyder
PDFs

Após instalar o novo dispositivo de mídia de inicialização no seu sistema FAS2800, você pode iniciar o processo automatizado de recuperação de mídia de inicialização para restaurar a configuração do nó parceiro. Durante o processo de recuperação, o sistema verifica se a criptografia está habilitada e determina o tipo de criptografia de chave em uso. Se a criptografia de chave estiver habilitada, o sistema o guiará pelas etapas apropriadas para restaurá-la.

O processo automatizado de recuperação de mídia de inicialização é compatível apenas com o ONTAP 9.17.1 e versões posteriores. Se o seu sistema de armazenamento estiver executando uma versão anterior do ONTAP, use o "procedimento de recuperação de inicialização manual" .

Antes de começar

  • Determine o tipo de seu gerenciador de chaves:

    • Gerenciador de Chaves Integrado (OKM): Requer senha e dados de backup para todo o cluster.

    • Gerenciador de Chaves Externas (EKM): Requer os seguintes arquivos do nó parceiro:

      • /cfcard/kmip/servers.cfg

      • /cfcard/kmip/certs/client.crt

      • /cfcard/kmip/certs/client.key

      • /cfcard/kmip/certs/CA.pem

Passos

  1. A partir do prompt do LOADER, inicie o processo de recuperação da mídia de inicialização:

    boot_recovery -partner

    O ecrã apresenta a seguinte mensagem:

    Starting boot media recovery (BMR) process. Press Ctrl-C to abort…

  2. Monitore o processo de recuperação de instalação de Mídia de inicialização.

    O processo é concluído e exibe a Installation complete mensagem.

  3. O sistema verifica a criptografia e exibe uma das seguintes mensagens:

    Se você vir esta mensagem…​ Faça isso…​

    key manager is not configured. Exiting.

    A criptografia não está instalada no sistema.

    1. Aguarde até que a tela de login seja exibida.

    2. Faça login no nó e devolva o espaço de armazenamento:

      storage failover giveback -ofnode impaired_node_name

    3. Vá para reativando a devolução automática se estivesse desativado.

    key manager is configured.

    A criptografia está instalada. Vá pararestaurando o gerenciador de chaves .
    Observação Se o sistema não conseguir identificar a configuração do gerenciador de chaves, ele exibirá uma mensagem de erro e solicitará que você confirme se o gerenciador de chaves está configurado e qual o tipo (integrado ou externo). Responda às perguntas para prosseguir.

  1. Restaure o gerenciador de chaves usando o procedimento apropriado para sua configuração:

    Gerenciador de chaves integrado (OKM)

    O sistema exibe a seguinte mensagem e inicia a execução da Opção 10 do Menu de Inicialização:

    key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

    1. Digitar y Quando solicitado, confirme que deseja iniciar o processo de recuperação do OKM.

    2. Digite a senha para gerenciamento da chave de bordo quando solicitado.

    3. Digite a senha novamente quando solicitado para confirmar.

    4. Insira os dados de backup para o gerenciador de chaves integrado quando solicitado.

      Mostrar exemplo de prompts de senha e dados de backup 
      Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

    5. Acompanhe o processo de recuperação enquanto ele restaura os arquivos apropriados do nó parceiro.

      Quando o processo de recuperação estiver concluído, o nó será reinicializado. As mensagens a seguir indicam uma recuperação bem-sucedida:

      Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

    6. Após a reinicialização do nó, verifique se o sistema está novamente online e operacional.

    7. Volte a colocar o controlador afetado em funcionamento normal, devolvendo o respetivo armazenamento:

      storage failover giveback -ofnode impaired_node_name

    8. Após o nó parceiro estar totalmente operacional e fornecendo dados, sincronize as chaves OKM em todo o cluster:

      security key-manager onboard sync

      Vá para reativando a devolução automática se estivesse desativado.

    Gerenciador de chaves externo (EKM)

    O sistema exibe a seguinte mensagem e inicia a execução da Opção 11 do Menu de Inicialização:

    key manager is configured.
Entering Bootmenu Option 11...

    1. Insira as configurações do EKM quando solicitado:

      1. Insira o conteúdo do certificado do cliente a partir do /cfcard/kmip/certs/client.crt arquivo:

        Mostrar exemplo de conteúdo do certificado do cliente 
        -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

      2. Insira o conteúdo do arquivo de chave do cliente a partir do /cfcard/kmip/certs/client.key arquivo:

        Mostrar exemplo de conteúdo do arquivo chave do cliente 
        -----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

      3. Insira o conteúdo do arquivo CA(s) do servidor KMIP a partir do /cfcard/kmip/certs/CA.pem arquivo:

        Mostrar exemplo de conteúdo do arquivo do servidor KMIP 
        -----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

      4. Insira o conteúdo do arquivo de configuração do servidor a partir do /cfcard/kmip/servers.cfg arquivo:

        Mostrar exemplo de conteúdo do arquivo de configuração do servidor 
        xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

      5. Caso seja solicitado, insira o UUID do cluster ONTAP do nó parceiro. Você pode verificar o UUID do cluster a partir do nó parceiro usando o cluster identify show comando.

        Mostrar exemplo de prompt de UUID de cluster ONTAP 
        Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

      6. Caso seja solicitado, insira a interface de rede temporária e as configurações do nó:

        • O endereço IP da porta

        • A máscara de rede para a porta

        • O endereço IP do gateway padrão

          Mostrar exemplo de prompts de configuração de rede temporária 
          In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

    2. Verifique o status de restauração da chave:

      • Se você vir kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 Na saída, a configuração EKM foi restaurada com sucesso. O processo restaura os arquivos apropriados do nó parceiro e reinicia o nó. Prossiga para a próxima etapa.

      • Caso a chave não seja restaurada com sucesso, o sistema para e exibe mensagens de erro e aviso. Execute novamente o processo de recuperação a partir do prompt do LOADER: boot_recovery -partner

        Mostrar exemplo de mensagens de aviso e erro de recuperação de chave 
        ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

    3. Após a reinicialização do nó, verifique se o sistema está novamente online e operacional.

    4. Volte a colocar o controlador em funcionamento normal, devolvendo o respetivo armazenamento:

      storage failover giveback -ofnode impaired_node_name

      Vá para reativando a devolução automática se estivesse desativado.

  1. Se a giveback automática foi desativada, reative-a:

    storage failover modify -node local -auto-giveback true

  2. Se o AutoSupport estiver ativado, restaure a criação automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

O que vem a seguir

Depois de restaurar a imagem ONTAP e o nó estiver ativo e fornecendo dados, "Devolva a peça com falha ao NetApp"você .