在 SANtricity System Manager 中使用外部密钥管理时解锁驱动器
建议更改
PDF
如果您配置了外部密钥管理,然后将启用安全的驱动器从一个存储阵列移动到另一个存储阵列,则必须将安全密钥重新分配给新存储阵列,以访问驱动器上的加密数据。
-
在源阵列(要卸下驱动器的阵列)上,您已导出卷组并卸下驱动器。在目标阵列上,您已重新安装驱动器。
System Manager 用户界面不支持导出/导入功能;必须使用命令行界面 (CLI) 将卷组导出/导入到其他存储阵列。 有关迁移卷组的详细说明,请参阅 "NetApp 知识库"。对于由 System Manager 管理的新阵列或旧系统,请务必遵循相应的说明。
-
必须启用驱动器安全功能。否则,在此任务期间将打开"无法创建安全密钥"对话框。如有必要,请联系您的存储供应商以获取有关启用驱动器安全功能的说明。
-
您必须知道密钥管理服务器的 IP 地址和端口号。
-
您拥有存储阵列控制器的签名客户端证书文件,并且已将该文件复制到访问 System Manager 的主机。客户端证书验证存储阵列的控制器,以便密钥管理服务器可以信任其 Key Management Interoperability Protocol (KMIP) 请求。
-
您必须从密钥管理服务器检索证书文件,然后将该文件复制到您正在访问 System Manager 的主机。密钥管理服务器证书验证密钥管理服务器,因此存储阵列可以信任其 IP 地址。您可以为密钥管理服务器使用根证书、中间证书或服务器证书。
|
|
有关服务器证书的详细信息,请参阅密钥管理服务器的文档。 |
当您使用外部密钥管理时,安全密钥将外部存储在旨在保护安全密钥的服务器上。安全密钥是由控制器和驱动器共享的字符串,用于读/写访问。当驱动器从阵列中物理卸下并安装在另一个阵列中时,在您提供正确的安全密钥之前,它们无法运行。
|
|
您可以从控制器的永久内存创建内部密钥,也可以从密钥管理服务器创建外部密钥。本主题介绍在使用 external 密钥管理时解锁数据。如果您使用 internal 密钥管理,请参阅 "使用内部密钥管理时解锁驱动器"。如果您正在执行控制器升级并将所有控制器更换为最新硬件,则必须按照 E-Series 和 SANtricity 文档中心中 "解锁驱动器" 所述的不同步骤进行操作。 |
在另一个阵列中重新安装启用安全的驱动器后,该阵列将发现驱动器并显示"需要注意"条件以及"需要安全密钥"状态。要解锁驱动器数据,请导入安全密钥文件并输入密钥的密码。(此密码与存储阵列的 Administrator 密码不同。)在此过程中,将存储阵列配置为使用外部密钥管理服务器,然后即可访问安全密钥。您需要提供存储阵列的服务器的联系信息,以连接和检索安全密钥。
如果在新存储阵列中安装了其他启用安全的驱动器,则它们可能使用与您导入的安全密钥不同的安全密钥。在导入过程中,旧的安全密钥仅用于解锁要安装的驱动器的数据。当解锁过程成功时,新安装的驱动器将重新设置为目标存储阵列的安全密钥。
-
选择菜单:Settings[System]。
-
在 Security key management 下,选择 Create External Key。
-
使用先决条件连接信息和证书完成向导。
-
单击 Test Communication 以确保访问外部密钥管理服务器。
-
选择 Unlock Secure Drives。
解锁安全驱动器对话框打开。任何需要安全密钥的驱动器都会显示在表中。
-
*可选:*将鼠标悬停在驱动器编号上,以查看驱动器的位置(盘架编号和托架编号)。
-
单击 Browse,然后选择与要解锁的驱动器对应的安全密钥文件。
您选择的密钥文件将显示在对话框中。
-
输入与此密钥文件关联的密码短语。
您输入的字符将被屏蔽。
-
单击 Unlock。
如果解锁操作成功,此对话框将显示:"关联的安全驱动器已解锁。"
当所有驱动器都被锁定然后解锁时,存储阵列中的每个控制器都将重新启动。但是,如果目标存储阵列中已有一些未锁定的驱动器,则控制器将不会重新启动。
在目标阵列(具有新安装驱动器的阵列)上,现在可以导入卷组。
|
|
System Manager 用户界面不支持导出/导入功能;必须使用命令行界面 (CLI) 将卷组导出/导入到其他存储阵列。 |
有关迁移卷组的详细说明,请参阅 "NetApp 知识库"。