Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar a autenticação na banda pelo NVMe

Colaboradores

A partir do ONTAP 9.12,1, você pode usar a interface de linha de comando (CLI) do ONTAP para configurar a autenticação na banda (segura), bidirecional e unidirecional entre um host e uma controladora NVMe através dos protocolos NVMe/TCP e NVMe/FC usando a autenticação DH-HMAC-CHAP. A partir do ONTAP 9.14,1, a autenticação na banda pode ser configurada no Gerenciador do sistema.

Para configurar a autenticação na banda, cada host ou controlador deve estar associado a uma chave DH-HMAC-CHAP, que é uma combinação do NQN do host ou controlador NVMe e um segredo de autenticação configurado pelo administrador. Para que um host ou controlador NVMe autentique seu peer, ele precisa saber a chave associada ao mesmo.

Na autenticação unidirecional, uma chave secreta é configurada para o host, mas não para o controlador. Na autenticação bidirecional, uma chave secreta é configurada para o host e para o controlador.

Sha-256 é a função hash padrão e 2048-bit é o grupo DH padrão.

System Manager

A partir do ONTAP 9.14,1, é possível usar o Gerenciador do sistema para configurar a autenticação na banda ao criar ou atualizar um subsistema NVMe, criar ou clonar espaços de nomes NVMe ou adicionar grupos de consistência com novos namespaces NVMe.

Passos
  1. No System Manager, clique em hosts > NVMe Subsystem e, em seguida, clique em Add.

  2. Adicione o nome do subsistema NVMe e selecione a VM de storage e o sistema operacional de host.

  3. Introduza o NQN do anfitrião.

  4. Selecione Use in-band Authentication ao lado do Host NQN.

  5. Forneça o segredo do host e o segredo do controlador.

    A chave DH-HMAC-CHAP é uma combinação do NQN do host ou controlador NVMe e um segredo de autenticação configurado pelo administrador.

  6. Selecione a função hash preferida e o grupo DH para cada host.

    Se você não selecionar uma função hash e um grupo DH, SHA-256 é atribuído como a função hash padrão e 2048 bits é atribuído como o grupo DH padrão.

  7. Opcionalmente, clique em Add e repita as etapas conforme necessário para adicionar mais host.

  8. Clique em Salvar.

  9. Para verificar se a autenticação na banda está ativada, clique em System Manager > hosts > NVMe Subsystem > Grid > Peek view.

    Um ícone de chave transparente ao lado do nome do host indica que o modo unidirecional está ativado. Uma tecla opaca ao lado do nome do host indica que o modo bidirecional está ativado.

CLI
Passos
  1. Adicione a autenticação DH-HMAC-CHAP ao subsistema NVMe:

    vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
  2. Verifique se o protocolo de autenticação DH-HMAC CHAP foi adicionado ao seu host:

    vserver nvme subsystem host show
      [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
      [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
      [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode
  3. Verifique se a autenticação DH-HMAC CHAP foi executada durante a criação do controlador NVMe:

    vserver nvme subsystem controller show
     [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
     [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
     [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode