发行说明
使用外部密钥管理时解锁驱动器
建议更改
PDF
单独 PDF 文档的收集
Creating your file...
如果您配置了外部密钥管理、然后将启用了安全保护的驱动器从一个存储阵列移动到另一个存储阵列、则必须将安全密钥重新分配给新存储阵列、才能访问驱动器上的加密数据。
-
在源阵列(要删除驱动器的阵列)上、您已导出卷组并删除驱动器。在目标阵列上、您已重新安装驱动器。
System Manager用户界面不支持导出/导入功能;您必须使用命令行界面(CLI)将卷组导出/导入到其他存储阵列。 有关迁移卷组的详细说明、请参见 "NetApp 知识库"。请务必按照适用于System Manager管理的较新阵列或旧系统的相应说明进行操作。
-
必须启用驱动器安全功能。否则、将在此任务期间打开无法创建安全密钥对话框。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。
-
您必须知道密钥管理服务器的IP地址和端口号。
-
您已为存储阵列的控制器创建一个签名客户端证书文件、并已将该文件复制到要访问System Manager的主机。客户端证书可验证存储阵列的控制器、以便密钥管理服务器可以信任其密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)请求。
-
您必须从密钥管理服务器检索证书文件、然后将该文件复制到要访问System Manager的主机。密钥管理服务器证书用于验证密钥管理服务器、以便存储阵列可以信任其IP地址。您可以对密钥管理服务器使用根证书、中间证书或服务器证书。
|
|
有关服务器证书的详细信息、请参见密钥管理服务器的文档。 |
使用外部密钥管理时、安全密钥会存储在外部的服务器上、用于保护安全密钥。安全密钥是指控制器和驱动器共享的字符串、用于进行读/写访问。如果从阵列中物理删除驱动器并将其安装在另一个阵列中、则这些驱动器将无法运行、除非您提供正确的安全密钥。
|
|
您可以从控制器的永久性内存创建内部密钥、也可以从密钥管理服务器创建外部密钥。本主题介绍使用_external_密钥管理时解锁数据。如果您使用_internal_密钥管理、请参见 "使用内部密钥管理时解锁驱动器"。如果要执行控制器升级并将所有控制器更换为最新硬件、则必须按照中E系列和SANtricity 文档中心所述的不同步骤进行操作 "解锁驱动器"。 |
在另一个阵列中重新安装启用了安全保护的驱动器后、该阵列将发现这些驱动器、并显示"需要注意"情况以及"需要安全密钥"状态。 要解锁驱动器数据、请导入安全密钥文件并输入密钥的密码短语。(此密码短语与存储阵列的管理员密码不同。) 在此过程中、您可以将存储阵列配置为使用外部密钥管理服务器、然后便可访问安全密钥。您需要提供存储阵列连接和检索安全密钥所需的服务器联系信息。
如果新存储阵列中安装了其他启用了安全保护的驱动器、则这些驱动器使用的安全密钥可能与您要导入的安全密钥不同。在导入过程中、旧安全密钥仅用于解锁要安装的驱动器的数据。成功完成解锁过程后、新安装的驱动器将重新密钥到目标存储阵列的安全密钥。
-
选择菜单:设置[系统]。
-
在*安全密钥管理*下、选择*创建外部密钥*。
-
使用前提条件连接信息和证书完成向导。
-
单击*测试通信*以确保能够访问外部密钥管理服务器。
-
选择*解锁安全驱动器*。
此时将打开解除安全驱动器锁定对话框。表中显示了需要安全密钥的所有驱动器。
-
*可选:*将鼠标悬停在驱动器编号上可查看驱动器的位置(磁盘架编号和托架编号)。
-
单击*浏览*、然后选择与要解锁的驱动器对应的安全密钥文件。
您选择的密钥文件将显示在对话框中。
-
输入与此密钥文件关联的密码短语。
输入的字符将被屏蔽。
-
单击*解锁*。
如果解锁操作成功、则对话框将显示:"The associated secure drives have been unlocked"。
锁定并解除锁定所有驱动器后、存储阵列中的每个控制器都将重新启动。但是、如果目标存储阵列中已有一些未锁定的驱动器、则控制器不会重新启动。
在目标阵列(包含新安装驱动器的阵列)上、您现在可以导入卷组。
|
|
System Manager用户界面不支持导出/导入功能;您必须使用命令行界面(CLI)将卷组导出/导入到其他存储阵列。 |
有关迁移卷组的详细说明、请参见 "NetApp 知识库"。