简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

启动恢复映像 - AFX 1K

10/14/2025 贡献者

PDF

在 AFX 1K 存储系统中安装新的启动介质设备后，您可以启动自动启动介质恢复过程以从合作伙伴节点恢复配置。

关于此任务

在恢复过程中，系统会检查是否启用了加密并识别正在使用的密钥加密类型。如果已启用密钥加密，系统将引导您完成相应的恢复步骤。

开始之前

对于 OKM，您需要集群范围的密码和备份数据。
对于EMM、您需要配对节点上以下文件的副本：
- /cfcard/kmip/servers.cfg文件。
- /cfcard/kmip/certs/client.crt文件。
- /cfcard/kmip/certs client.key文件。
- /cfcard/kmip/certs或CA.prom文件。

步骤

在Loader提示符处、输入命令：

boot_recovery -partner

屏幕将显示以下消息：

Starting boot media recovery (BMR) process. Press Ctrl-C to abort…
监控启动介质安装恢复过程。

此过程完成并显示 `Installation complete`消息。

系统将检查加密和加密类型、并显示两条消息之一。根据显示的消息、执行以下操作之一：

有时、进程可能无法确定系统上是否配置了密钥管理器。它将显示一条错误消息、询问是否为系统配置了密钥管理器、然后询问配置了哪种类型的密钥管理器。解决问题后、此过程将继续。

显示配置错误查找提示示例

Error when fetching key manager config from partner ${partner_ip}: ${status}

Has key manager been configured on this system

Is the key manager onboard

如果您看到此消息… 操作

如果您看到此消息…	操作
`key manager is not configured. Exiting.`	系统上未配置加密。完成以下步骤：当控制台消息停止时、按<enter>。如果看到登录提示，请转到步骤 4。如果您没有看到登录提示，请登录合作伙伴节点并继续执行步骤 4。如果自动交还功能已禁用，请转至步骤 6 启用该功能。
`key manager is configured.`	转到步骤 5 恢复适当的密钥管理器。节点进入启动菜单并运行：选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。选项11适用于具有外部密钥管理器(EKM)的系统。

key manager is not configured. Exiting.

系统上未配置加密。完成以下步骤：

当控制台消息停止时、按<enter>。
- 如果看到登录提示，请转到步骤 4。
- 如果您没有看到登录提示，请登录合作伙伴节点并继续执行步骤 4。
如果自动交还功能已禁用，请转至步骤 6 启用该功能。

key manager is configured.

转到步骤 5 恢复适当的密钥管理器。

节点进入启动菜单并运行：

选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。
选项11适用于具有外部密钥管理器(EKM)的系统。

如果系统上未安装加密，则不会显示登录提示。完成以下步骤：
1. 仅返回具有 override-destination-checks 选项的根：
  
  storage failover giveback -ofnode impaired-node -only-root true -override -destination-checks true
  
  此命令仅在诊断模式下可用。有关详细信息，请参阅"ONTAP CLI 命令的权限级别" 。
  
  如果遇到错误，请联系 "NetApp 支持"。
2. 在恢复报告完成后等待5分钟、然后检查故障转移状态和恢复状态：
  
  storage failover show`和 `storage failover show-giveback
  
  以下命令仅在诊断模式权限级别下可用。
3. 如果您正在运行ONTAP 9.17.1 并且 HA 内部连接链路已被断开，请将其恢复：
  
  system ha interconnect link on -node healthy-node -link 0
  
  system ha interconnect link on -node healthy-node -link 1
如果您运行的是 9.18.1 或更高版本，请跳过上述步骤并转到下一步。
1. 通过交还存储使受损控制器恢复正常运行：
  
  storage failover giveback -ofnode impaired_node_name
对于配置了密钥管理器的系统，选择适当的密钥管理器恢复过程。
板载密钥管理器（ OKM ）
如果检测到OKM、系统将显示以下消息并开始运行BootMenu选项10。

key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):

在提示符处输入 `Y`以确认您要启动OKM恢复过程。

出现提示时输入以下内容：

密码

当提示确认时再次输入密码

板载密钥管理器的备份数据

显示密码和备份数据提示的示例

Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END ACKUP-----

从配对节点还原相应文件时、继续监控恢复过程。

恢复过程完成后、节点将重新启动。以下消息表示已成功恢复：

Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.

节点重新启动后、确认系统恢复联机并正常运行、以验证启动介质恢复是否成功。

通过交还存储使受损控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name

如果 HA 互连链路已断开，请将其恢复以恢复自动交还：

system ha interconnect link on -node healthy-node -link 0

system ha interconnect link on -node healthy-node -link 1

在配对节点完全启动并提供数据后、在整个集群中同步OKM密钥。

security key-manager onboard sync
外部密钥管理器（ EKM ）
如果检测到EMM、系统将显示以下消息并开始运行BootMenu选项11。

key manager is configured. Entering Bootmenu Option 11...

根据密钥是否已成功还原、执行以下操作之一：

如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`在输出中，EKM 配置已成功恢复。

该过程尝试从伙伴节点恢复适当的文件并重新启动该节点。转至步骤 d。

如果密钥未成功恢复，系统将停止并指示无法恢复密钥。显示错误和警告消息。您必须重新运行恢复过程：

boot_recovery -partner

显示密钥恢复错误和警告消息的示例

ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>

节点重新启动后、通过确认系统恢复联机并正常运行来验证启动介质恢复是否成功。

通过交还存储使控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name

如果 HA 互连链路已断开，请将其恢复以恢复自动交还：

system ha interconnect link on -node healthy-node -link 0

system ha interconnect link on -node healthy-node -link 1
如果已禁用自动交还、请重新启用它：

storage failover modify -node local auto-giveback-of true
如果启用了AutoSupport、则还原自动创建案例：

system node autosupport invoke -node * -type all -message MAINT=END

下一步是什么？

还原ONTAP映像并且节点启动并提供数据后，您需要"将故障部件退回给NetApp"。

启动恢复映像 - AFX 1K

Creating your file...