Skip to main content
ONTAP MetroCluster
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在MetroCluster IP配置中配置端到端加密

贡献者 netapp-aoife
PDF

从ONTAP 9.15.1 开始,您可以在支持的系统上配置端到端加密,以加密MetroCluster IP 配置中的站点之间的后端流量,例如 NVlog 和存储复制数据。

关于此任务

  • 您必须是集群管理员才能执行此任务。

  • 在配置端到端加密之前、您必须先配置 "配置外部密钥管理"

  • 查看在MetroCluster IP配置中配置端到端加密所需的受支持系统和最低ONTAP版本:

    最低ONTAP版本 支持的系统

    ONTAP 9.17.1

    • AFF A800和AFF C800

    • AFF A20、 AFF A30、 AFF C30、 AFF A50、 AFF C60

    • AFF A70、 AFF A90、 AFF A1K、 AFF C80

    • FAS50、FAS70、FAS90

    ONTAP 9.15.1.

    • AFF A400

    • FAS8300

    • FAS8700

启用端到端加密

执行以下步骤以启用端到端加密。

步骤

  1. 验证 MetroCluster 配置的运行状况。

    1. 验证 MetroCluster 组件是否运行正常:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此操作将在后台运行。

    2. 在之后 metrocluster check run 操作完成、运行:

      metrocluster check show

      大约五分钟后,将显示以下结果:

    cluster_A:::*> metrocluster check show

Component           Result
------------------- ---------
nodes               ok
lifs                ok
config-replication  ok
aggregates          ok
clusters            ok
connections         not-applicable
volumes             ok
7 entries were displayed.

    1. 检查正在运行的 MetroCluster 检查操作的状态:

      metrocluster operation history show -job-id <id>

    2. 验证是否没有运行状况警报:

      system health alert show

  2. 验证是否已在两个集群上配置外部密钥管理:

    security key-manager external show-status

  3. 为每个DR组启用端到端加密:

    metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>

    • 示例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1
Warning: Enabling encryption for a DR Group will secure NVLog and Storage
         replication data sent between MetroCluster nodes and have an impact on
         performance. Do you want to continue? {y|n}: y
[Job 244] Job succeeded: Modify is successful.

    + 对配置中的每个DR组重复此步骤。

  4. 验证是否已启用端到端加密:

    metrocluster node show -fields is-encryption-enabled

    • 示例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled

dr-group-id cluster    node      configuration-state is-encryption-enabled
----------- ---------- --------  ------------------- -----------------
1           cluster_A  node_A_1  configured          true
1           cluster_A  node_A_2  configured          true
1           cluster_B  node_B_1  configured          true
1           cluster_B  node_B_2  configured          true
4 entries were displayed.

禁用端到端加密

执行以下步骤以禁用端到端加密。

步骤

  1. 验证 MetroCluster 配置的运行状况。

    1. 验证 MetroCluster 组件是否运行正常:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此操作将在后台运行。

    2. 在之后 metrocluster check run 操作完成、运行:

      metrocluster check show

      大约五分钟后,将显示以下结果:

    cluster_A:::*> metrocluster check show

Component           Result
------------------- ---------
nodes               ok
lifs                ok
config-replication  ok
aggregates          ok
clusters            ok
connections         not-applicable
volumes             ok
7 entries were displayed.

    1. 检查正在运行的 MetroCluster 检查操作的状态:

      metrocluster operation history show -job-id <id>

    2. 验证是否没有运行状况警报:

      system health alert show

  2. 验证是否已在两个集群上配置外部密钥管理:

    security key-manager external show-status

  3. 在每个DR组上禁用端到端加密:

    metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>

    • 示例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1
[Job 244] Job succeeded: Modify is successful.

    + 对配置中的每个DR组重复此步骤。

  4. 验证是否已禁用端到端加密:

    metrocluster node show -fields is-encryption-enabled

    • 示例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled

dr-group-id cluster    node      configuration-state is-encryption-enabled
----------- ---------- --------  ------------------- -----------------
1           cluster_A  node_A_1  configured          false
1           cluster_A  node_A_2  configured          false
1           cluster_B  node_B_1  configured          false
1           cluster_B  node_B_2  configured          false
4 entries were displayed.