简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

获取用于存储加密的外部密钥管理服务器的 IP 地址

升级后,您必须立即配置存储加密并建立集群范围的身份验证密钥,以替换先前的节点级别身份验证密钥。

步骤

  1. 安装与密钥管理服务器通信所需的客户端和服务器安全套接字层( SSL )证书:

    s安全证书安装

  2. 在每个节点上使用以下命令,在所有节点上配置存储加密:

    s安全密钥管理器外部启用

  3. 添加每个密钥管理服务器的 IP 地址:

    security key-manager external add-servers -key-servers key_management_server_ip_address

  4. 验证是否已在集群中的所有节点上配置相同的密钥管理服务器并使其可用:

    s安全密钥管理器外部 show-status

  5. 创建新的集群范围身份验证密钥:

    s安全密钥管理器密钥创建

  6. 记下新的身份验证密钥 ID 。

  7. 使用新的身份验证密钥重新设置所有自加密驱动器的密钥:

    storage encryption disk modify -disk * -data-key-id <authentication_key_id>

使用 KMIP 服务器管理身份验证

从 ONTAP 9.10.1 开始,您可以使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )服务器管理身份验证密钥。

步骤

  1. 添加新控制器:

    s安全密钥管理器外部启用

  2. 添加密钥管理器:

    security key-manager external add-servers -key-servers key_management_server_ip_address

  3. 验证密钥管理服务器是否已配置且可供集群中的所有节点使用:

    s安全密钥管理器外部 show-status

  4. 将所有链接的密钥管理服务器中的身份验证密钥还原到新节点:

    security key-manager external restore -node new_controller_name

  5. 使用新的身份验证密钥重新设置所有自加密磁盘的密钥:

    storage encryption disk modify -disk * ( -data-key-id nonMSID AK )

  6. 如果使用联邦信息处理标准( FIPS ),请使用新的身份验证密钥重新设置所有自加密磁盘的密钥:

    storage encryption disk modify -disk * ( -fips-key-id nonMSID AK )

使用板载密钥管理器管理存储加密

您可以使用 OKM 管理加密密钥。如果您计划使用 OKM ,则必须在开始升级之前记录密码短语和备份材料。

步骤

  1. 将密码短语保存到安全位置。

  2. 创建备份以进行恢复。运行以下命令并保存输出:

    s安全密钥管理器板载 show-backup

暂停 SnapMirror 关系(可选)。

在继续使用操作步骤之前,您必须确认所有 SnapMirror 关系均已暂停。暂停 SnapMirror 关系后,它会在重新启动和故障转移后保持静默状态。

步骤

  1. 验证目标集群上的 SnapMirror 关系状态:

    snapmirror show

    注

    如果状态为 "Transferring" ,则必须中止这些传输: snapmirror abort -destination-vserver <vserver_name>

    如果 SnapMirror 关系未处于 " 正在传输 " 状态,则中止将失败。

  2. 暂停集群之间的所有关系:

    snapmirror quiesce -destination-vserver <vserver_name>