在新控制器模块上设置NetApp卷或聚合加密
建议更改
PDF
如果更换的控制器或新控制器的高可用性(HA)配对系统使用NetApp卷加密(NVE)或NetApp聚合加密(NAE)、则必须为NVE或NAE配置新控制器模块。
此操作步骤包含对新控制器模块执行的步骤。您必须在正确的节点上输入命令。
-
验证密钥管理服务器是否仍可用,其状态及其身份验证密钥信息:
对于此 ONTAP 版本… 使用此命令 … ONTAP 9.6 或 9.7
sSecurity key-manager key query -node nodeONTAP 9.5 或更早版本
sSecurity key-manager key show -
将上一步中列出的密钥管理服务器添加到新控制器的密钥管理服务器列表中:
-
使用以下命令添加密钥管理服务器:
security key-manager -add key_management_server_ip_address -
对列出的每个密钥管理服务器重复上述步骤。您最多可以链接四个密钥管理服务器。
-
使用以下命令验证是否已成功添加密钥管理服务器:
sSecurity key-manager show
-
-
在新控制器模块上,运行密钥管理设置向导以设置和安装密钥管理服务器。
您必须安装与现有控制器模块上安装的密钥管理服务器相同的密钥管理服务器。
-
使用以下命令在新节点上启动密钥管理服务器设置向导:
security key-manager setup -node new_controller_name -
完成向导中的步骤以配置密钥管理服务器。
-
-
将所有链接的密钥管理服务器中的身份验证密钥还原到新节点:
-
还原外部密钥管理器的身份验证:
s安全密钥管理器外部还原此命令需要板载密钥管理器( OKM )密码短语
有关详细信息、请参见知识库文章 "如何从ONTAP 启动菜单还原外部密钥管理器服务器配置"。
-
还原OKM的身份验证:
对于此 ONTAP 版本… 使用此命令 … 所有其他 ONTAP 版本
sSecurity key-manager 板载同步ONTAP 9.5
sSecurity key-manager setup -node node_name
-
检查是否有任何卷因身份验证密钥不可用或无法访问外部密钥管理服务器而脱机。使用将这些卷恢复联机 volume online 命令: