Habilite o gerenciamento de chaves externas no ONTAP 9.6 e posterior (baseado em hardware)
Você pode usar um ou mais servidores KMIP para proteger as chaves que o cluster usa para acessar dados criptografados. É possível conectar até quatro servidores KMIP a um nó. Recomenda-se um mínimo de dois servidores para redundância e recuperação de desastres.
A partir do ONTAP 9.11,1, você pode adicionar até 3 servidores de chaves secundárias por servidor de chaves primárias para criar um servidor de chaves em cluster. Para obter mais informações, Configurar servidores de chaves externas em clusterconsulte .
-
Os certificados de cliente e servidor KMIP SSL devem ter sido instalados.
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Você deve configurar o ambiente MetroCluster antes de configurar um gerenciador de chaves externo.
-
Em um ambiente MetroCluster, é necessário instalar o mesmo certificado KMIP SSL em ambos os clusters.
-
Configurar a conetividade do gerenciador de chaves para o cluster:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
-
O
security key-manager external enable
comando substitui osecurity key-manager setup
comando. Você pode executar osecurity key-manager external modify
comando para alterar a configuração de gerenciamento de chaves externas. Para obter a sintaxe completa do comando, consulte as páginas man. -
Em um ambiente MetroCluster, se você estiver configurando o gerenciamento de chaves externas para o SVM de administrador, repita o
security key-manager external enable
comando no cluster de parceiros.
O comando a seguir habilita o gerenciamento de chaves externas para
cluster1
com três servidores de chaves externas. O primeiro servidor de chaves é especificado usando seu nome de host e porta, o segundo é especificado usando um endereço IP e a porta padrão, e o terceiro é especificado usando um endereço IPv6 e porta:clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
Verifique se todos os servidores KMIP configurados estão conetados:
security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown
O
security key-manager external show-status
comando substitui osecurity key-manager show -status
comando. Para obter a sintaxe completa do comando, consulte a página man.cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 6 entries were displayed.