Skip to main content
ONTAP MetroCluster
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置端到端加密

贡献者

从ONTAP 9.15.1开始、您可以配置端到端加密、以加密MetroCluster IP配置中站点之间的后端流量、例如NVlog和存储复制数据。

关于此任务
  • 您必须是集群管理员才能执行此任务。

  • 在配置端到端加密之前、您必须先配置 "配置外部密钥管理"

  • 查看在MetroCluster IP配置中配置端到端加密所需的受支持系统和最低ONTAP版本:

    最低ONTAP版本

    支持的系统

    ONTAP 9.15.1.

    • AFF A400

    • FAS8300

    • FAS8700

启用端到端加密

执行以下步骤以启用端到端加密。

步骤
  1. 验证 MetroCluster 配置的运行状况。

    1. 验证 MetroCluster 组件是否运行正常:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此操作将在后台运行。

    2. 在之后 metrocluster check run 操作完成、运行:

      metrocluster check show

      大约五分钟后,将显示以下结果:

    cluster_A:::*> metrocluster check show
    
    Component           Result
    ------------------- ---------
    nodes               ok
    lifs                ok
    config-replication  ok
    aggregates          ok
    clusters            ok
    connections         not-applicable
    volumes             ok
    7 entries were displayed.
    1. 检查正在运行的 MetroCluster 检查操作的状态:

      metrocluster operation history show -job-id <id>
    2. 验证是否没有运行状况警报:

      system health alert show
  2. 验证是否已在两个集群上配置外部密钥管理:

    security key-manager external show-status
  3. 为每个DR组启用端到端加密:

    metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>
    • 示例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1
    Warning: Enabling encryption for a DR Group will secure NVLog and Storage
             replication data sent between MetroCluster nodes and have an impact on
             performance. Do you want to continue? {y|n}: y
    [Job 244] Job succeeded: Modify is successful.

    + 对配置中的每个DR组重复此步骤。

  4. 验证是否已启用端到端加密:

    metrocluster node show -fields is-encryption-enabled
    • 示例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled
    
    dr-group-id cluster    node      configuration-state is-encryption-enabled
    ----------- ---------- --------  ------------------- -----------------
    1           cluster_A  node_A_1  configured          true
    1           cluster_A  node_A_2  configured          true
    1           cluster_B  node_B_1  configured          true
    1           cluster_B  node_B_2  configured          true
    4 entries were displayed.

禁用端到端加密

执行以下步骤以禁用端到端加密。

步骤
  1. 验证 MetroCluster 配置的运行状况。

    1. 验证 MetroCluster 组件是否运行正常:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此操作将在后台运行。

    2. 在之后 metrocluster check run 操作完成、运行:

      metrocluster check show

      大约五分钟后,将显示以下结果:

    cluster_A:::*> metrocluster check show
    
    Component           Result
    ------------------- ---------
    nodes               ok
    lifs                ok
    config-replication  ok
    aggregates          ok
    clusters            ok
    connections         not-applicable
    volumes             ok
    7 entries were displayed.
    1. 检查正在运行的 MetroCluster 检查操作的状态:

      metrocluster operation history show -job-id <id>
    2. 验证是否没有运行状况警报:

      system health alert show
  2. 验证是否已在两个集群上配置外部密钥管理:

    security key-manager external show-status
  3. 在每个DR组上禁用端到端加密:

    metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>
    • 示例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1
    [Job 244] Job succeeded: Modify is successful.

    + 对配置中的每个DR组重复此步骤。

  4. 验证是否已禁用端到端加密:

    metrocluster node show -fields is-encryption-enabled
    • 示例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled
    
    dr-group-id cluster    node      configuration-state is-encryption-enabled
    ----------- ---------- --------  ------------------- -----------------
    1           cluster_A  node_A_1  configured          false
    1           cluster_A  node_A_2  configured          false
    1           cluster_B  node_B_1  configured          false
    1           cluster_B  node_B_2  configured          false
    4 entries were displayed.