Configurar servidores de chaves externas em cluster no ONTAP
Sugerir alterações
PDFs
A partir do ONTAP 9.11.1, é possível configurar a conectividade com servidores de gerenciamento de chaves externas em cluster em uma SVM. Com servidores de chaves em cluster, você pode designar servidores de chaves primários e secundários em uma SVM. Ao registrar ou recuperar chaves, o ONTAP primeiro tenta acessar o servidor de chaves primário antes de tentar acessar sequencialmente os servidores secundários até que a operação seja concluída com sucesso.
Você pode usar servidores de chaves externos para as chaves do NetApp Storage Encryption (NSE), NetApp Volume Encryption (NVE) e NetApp Aggregate Encryption (NAE). Uma SVM pode suportar até quatro servidores KMIP externos primários. Cada servidor primário pode suportar até três servidores de chave secundários.
-
Esse processo só suporta servidores-chave que usam KMIP. Para obter uma lista de servidores de chaves suportados, verifique o "Ferramenta de Matriz de interoperabilidade do NetApp".
-
"O gerenciamento de chaves KMIP deve estar habilitado para SVM".
-
Todos os nós no cluster devem estar executando o ONTAP 9.11,1 ou posterior.
-
A ordem dos servidores listados no
-secondary-key-serversO parâmetro reflete a ordem de acesso dos servidores externos de gerenciamento de chaves (KMIP).
Crie um servidor de chaves em cluster
O procedimento de configuração depende se você configurou ou não um servidor de chave primária.
-
Confirme se nenhum gerenciamento de chaves foi habilitado para o cluster (SVM de administrador):
security key-manager external show -vserver <svm_name>Se a SVM já tiver o máximo de quatro servidores de chave primária ativados, você deverá remover um dos servidores de chave primária existentes antes de adicionar um novo.
-
Ative o gerenciador de chaves primárias:
security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>-
Se você não especificar uma porta no
-key-serversPara esse parâmetro, é utilizada a porta padrão 5696.
Se você estiver executando o security key-manager external enablePara executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters. A NetApp recomenda enfaticamente o uso dos mesmos servidores de chave em ambos os clusters.
-
-
Modifique o servidor de chave primária para adicionar servidores de chave secundária. O
-secondary-key-serversO parâmetro aceita uma lista de até três servidores-chave, separados por vírgula:security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>-
Não inclua um número de porta para servidores de chave secundários no
-secondary-key-serversparâmetro. Ele usa o mesmo número de porta que o servidor de chave primária.
Se você estiver executando o security key-manager externalPara executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters. A NetApp recomenda enfaticamente o uso dos mesmos servidores de chave em ambos os clusters.
-
-
Modifique o servidor de chave primária para adicionar servidores de chave secundária. O
-secondary-key-serversO parâmetro aceita uma lista de até três servidores-chave, separados por vírgula:security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>-
Não inclua um número de porta para servidores de chave secundários no
-secondary-key-serversparâmetro. Ele usa o mesmo número de porta que os servidores de chave primária.
Se você estiver executando o security key-manager external modify-serverPara executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters. A NetApp recomenda enfaticamente o uso dos mesmos servidores de chave em ambos os clusters.
-
Para obter mais informações sobre servidores de chaves secundários, consulte [mod-secondary].
Modificar servidores de chaves em cluster
É possível modificar servidores de chaves externas em cluster adicionando e removendo servidores de chaves secundários, alterando a ordem de acesso dos servidores de chaves secundários ou alterando a designação (primária ou secundária) de servidores de chaves específicos. Se você modificar servidores de chaves externas em cluster em uma configuração MetroCluster , a NetApp recomenda enfaticamente o uso dos mesmos servidores de chaves em ambos os clusters.
Modificar servidores de chaves secundárias
Use o parâmetro -secondary-key-servers do comando security key-manager external modify-server para gerenciar servidores de chaves secundários. O -secondary-key-servers O parâmetro aceita uma lista separada por vírgulas. A ordem especificada dos servidores de chaves secundárias na lista determina a sequência de acesso para esses servidores. É possível modificar a ordem de acesso executando o comando security key-manager external modify-server com os servidores de chaves secundários inseridos em uma sequência diferente. Não inclua um número de porta para servidores de chave secundários.
|
|
Se você estiver executando o security key-manager external modify-server Para executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters.
|
Para remover um servidor de chaves secundário, inclua os servidores de chaves que deseja manter na lista. -secondary-key-servers parâmetro e omita aquele que deseja remover. Para remover todos os servidores de chave secundários, use o argumento. - , que significa nenhum.
Converta servidores de chaves primárias e secundárias
Você pode seguir os passos abaixo para alterar a designação (primária ou secundária) de servidores de chave específicos.
-
Remova o servidor de chave primária da SVM:
security key-manager external remove-servers
Se você estiver executando o security key-manager external remove-serversPara executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters. -
Realize oCrie um servidor de chaves em cluster Procedimento que utiliza o antigo servidor de chaves primárias como servidor de chaves secundárias.
-
Remova o servidor de chaves secundário do seu servidor de chaves primário existente:
security key-manager external modify-server -secondary-key-servers
-
Se você estiver executando o
security key-manager external modify-server -secondary-key-serversPara executar o comando no SVM de administração em uma configuração MetroCluster , você deve executar o comando em ambos os clusters. Se você estiver executando o comando para um SVM de dados individual, não precisa executá-lo em ambos os clusters. -
Se você converter um servidor de chaves secundário em um servidor de chaves primário enquanto remove um servidor de chaves existente, tentar adicionar um novo servidor de chaves antes de concluir a remoção e a conversão pode resultar na duplicação de chaves.
-
Realize oCrie um servidor de chaves em cluster Procedimento que utiliza o antigo servidor de chaves secundário como servidor de chaves primário do novo servidor de chaves em cluster.
Consulte[mod-secondary] para mais informações.
-
Saiba mais sobre
security key-manager externalno"Referência do comando ONTAP"