Configurar servidores de chaves externas em cluster no ONTAP
A partir do ONTAP 9.11,1, é possível configurar a conetividade com servidores de gerenciamento de chaves externos em cluster em um SVM. Com servidores de chaves em cluster, você pode designar servidores de chaves primárias e secundárias em um SVM. Ao Registrar chaves, o ONTAP tentará primeiro acessar um servidor de chaves primárias antes de tentar acessar sequencialmente servidores secundários até que a operação seja concluída com êxito, evitando a duplicação de chaves.
Os servidores de chaves externas podem ser usados para chaves NSE, NVE, NAE e SED. Um SVM pode dar suporte a até quatro servidores KMIP primários externos. Cada servidor principal pode suportar até três servidores de chaves secundárias.
Antes de começar
-
"O gerenciamento de chaves KMIP deve estar habilitado para SVM".
-
Esse processo só suporta servidores-chave que usam KMIP. Para obter uma lista de servidores de chaves suportados, verifique o "Ferramenta de Matriz de interoperabilidade do NetApp".
-
Todos os nós no cluster devem estar executando o ONTAP 9.11,1 ou posterior.
-
A ordem dos argumentos da lista de servidores no
-secondary-key-servers
parâmetro reflete a ordem de acesso dos servidores de gerenciamento de chaves externas (KMIP). -
Saiba mais sobre os comandos descritos neste procedimento no "Referência do comando ONTAP."
Crie um servidor de chaves em cluster
O procedimento de configuração depende se você configurou ou não um servidor de chave primária.
-
Confirme se nenhum gerenciamento de chaves foi habilitado para o cluster:
security key-manager external show -vserver svm_name
Se o SVM já tiver o máximo de quatro servidores de chaves primárias ativados, você deverá remover um dos servidores de chaves primárias existentes antes de adicionar um novo. -
Ative o gerenciador de chaves principal:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
-
Modifique o servidor de chaves primárias para adicionar servidores de chaves secundárias. O
-secondary-key-servers
parâmetro aceita uma lista separada por vírgulas de até três servidores-chave.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
Modifique o servidor de chaves primárias para adicionar servidores de chaves secundárias. O
-secondary-key-servers
parâmetro aceita uma lista separada por vírgulas de até três servidores-chave.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
Para obter mais informações sobre servidores de chaves secundárias, [mod-secondary]consulte .
Modificar servidores de chaves em cluster
Você pode modificar clusters de servidores de chave externos alterando o status (primário ou secundário) de servidores de chave específicos, adicionando e removendo servidores de chave secundária ou alterando a ordem de acesso de servidores de chave secundária.
Converta servidores de chaves primárias e secundárias
Para converter um servidor de chave primária em um servidor de chave secundário, primeiro remova-o do SVM com o security key-manager external remove-servers
comando.
Para converter um servidor de chave secundária em um servidor de chave primária, primeiro você deve remover o servidor de chave secundária de seu servidor de chave primária existente. [mod-secondary]Consulte . Se você converter um servidor de chaves secundário para um servidor primário ao remover uma chave existente, tentar adicionar um novo servidor antes de concluir a remoção e conversão pode resultar na duplicação de chaves.
Modificar servidores de chaves secundárias
Os servidores de chaves secundárias são gerenciados com o -secondary-key-servers
parâmetro security key-manager external modify-server
do comando. O -secondary-key-servers
parâmetro aceita uma lista separada por vírgulas. A ordem especificada dos servidores de chaves secundárias na lista determina a sequência de acesso para os servidores de chaves secundárias. A ordem de acesso pode ser modificada executando o comando security key-manager external modify-server
com os servidores de chaves secundárias inseridos em uma sequência diferente.
Para remover um servidor de chave secundário, os -secondary-key-servers
argumentos devem incluir os servidores de chave que você deseja manter ao omitir o que deve ser removido. Para remover todos os servidores de chaves secundárias, use o argumento -
, significando nenhum.
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/[security key-manager external
ONTAP