发行说明
恢复启动介质上的映像- ASA A1K
建议更改
PDF
单独 PDF 文档的收集
Creating your file...
在ASA A1K系统中安装新的启动介质设备后、您可以启动自动启动介质恢复过程以从配对节点还原配置。
在恢复过程中、系统会检查是否已启用加密、并确定所使用的密钥加密类型。如果启用了密钥加密、系统将指导您完成相应的还原步骤。
-
确定是否使用以下方法之一配置板载密钥管理器(OKM)或外部密钥管理器(EKM):
-
您可以询问客户或系统管理员是否已启用OKM或EKM。
-
要检查是否已启用OKM、请使用以下命令:
security key-manager onboard show -
要检查是否已启用EMM、请使用以下命令:
security key-manager external show
-
-
对于OKM、您需要OKM密码短语文件内容。
-
对于EMM、您需要配对节点上以下文件的副本:
-
/cfcard/kmip/servers.cfg文件。
-
/cfcard/kmip/certs/client.crt文件。
-
/cfcard/kmip/certs client.key文件。
-
/cfcard/kmip/certs或CA.prom文件。
-
-
在Loader提示符处、输入命令:
boot_recovery -partner屏幕将显示以下消息:
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
监控启动介质安装恢复过程。
此过程完成并显示 `Installation complete.`消息。
-
系统将检查加密和加密类型、并显示两条消息之一。根据显示的消息、执行以下操作之一:
有时、进程可能无法确定系统上是否配置了密钥管理器。它将显示一条错误消息、询问是否为系统配置了密钥管理器、然后询问配置了哪种类型的密钥管理器。解决问题后、此过程将继续。 显示配置错误查找提示示例
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboard如果您看到此消息… 操作 key manager is not configured. Exiting.系统上未安装加密。完成以下步骤:
-
显示登录提示时、登录到节点并交还存储:
storage failover giveback -ofnode impaired_node_name -
如果已禁用自动交还、请转至步骤5以启用自动交还。
key manager is configured.转至步骤4以还原相应的密钥管理器。
节点将访问启动菜单并运行:
-
选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。
-
选项11适用于具有外部密钥管理器(EKM)的系统。
-
-
选择适当的密钥管理器还原过程。
板载密钥管理器( OKM )外部密钥管理器( EKM )板载密钥管理器( OKM )
板载密钥管理器( OKM )外部密钥管理器( EKM )如果检测到OKM、系统将显示以下消息并开始运行BootMenu选项10。
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
在提示符处输入 `Y`以确认您要启动OKM恢复过程。
-
出现提示时、输入板载密钥管理器的密码短语、出现提示时再次输入密码短语进行确认。
显示密码短语提示示例
Enter the passphrase for onboard key management: Enter the passphrase again to confirm: Enter the backup data: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE-----
-
从配对节点还原相应文件时、继续监控恢复过程。
恢复过程完成后、节点将重新启动。以下消息表示已成功恢复:
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
节点重新启动后、确认系统恢复联机并正常运行、以验证启动介质恢复是否成功。
-
通过交还存储使受损控制器恢复正常运行:
storage failover giveback -ofnode impaired_node_name -
在配对节点完全启动并提供数据后、在整个集群中同步OKM密钥。
security key-manager onboard sync
如果检测到EMM、系统将显示以下消息并开始运行BootMenu选项11。
key manager is configured. Entering Bootmenu Option 11...
-
下一步取决于您的系统所运行的ONTAP版本:
如果系统正在运行 … 操作 ONTAP 9.16.0.
-
按 `Ctlr-C`退出BootMenu选项11。
-
按 `Ctlr-C`退出EKM配置过程并返回启动菜单。
-
选择BootMenu选项8。
-
重新启动节点。
如果 `AUTOBOOT`设置了、则节点将重新启动并使用配对节点中的配置文件。
如果 `AUTOBOOT`未设置、请输入相应的启动命令。节点将重新启动并使用配对节点上的配置文件。
-
重新启动节点、以便EMM保护启动介质分区。
-
继续执行步骤C
ONTAP 9.16.1.
继续执行下一步。
-
-
出现提示时、输入以下EKM配置设置:
操作 示例 输入文件中的客户端证书内容
/cfcard/kmip/certs/client.crt。显示客户端证书内容示例
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
输入文件中的客户端密钥文件内容
/cfcard/kmip/certs/client.key。显示客户端密钥文件内容的示例
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
输入文件中的KMIP服务器CA文件内容
/cfcard/kmip/certs/CA.pem。显示KMIP服务器文件内容示例
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
输入文件中的服务器配置文件内容
/cfcard/kmip/servers.cfg。显示服务器配置文件内容示例
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
如果出现提示、请输入配对节点的ONTAP集群UUID。
显示ONTAP集群UUID示例
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).如果出现提示、请输入此节点的临时网络接口和设置。
显示临时网络设置示例
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
根据密钥是否已成功还原、执行以下操作之一:
-
如果EKM配置已成功还原、则此过程将尝试从配对节点还原相应的文件、然后重新启动此节点。转至步骤d
显示9.16.0还原消息示例
kmip2_client: Importing keys from external key server: xxx.xxx.xxx.xxx:5696 [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdUtils: [locateMrootAkUuids]:420: Locating local cluster MROOT-AK with keystore UUID: <uuid> [Feb 6 04:57:43]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:79: Calling KMIP Locate for the following attributes: [<x-NETAPP-ClusterId, <uuid>>, <x-NETAPP-KeyUsage, MROOT-AK>, <x-NETAPP-KeystoreUuid, <uuid>>, <x-NETAPP-Product, Data ONTAP>] [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [doCmdImp]:84: KMIP Locate executed successfully! [Feb 6 04:57:44]: 0x80cc09000: 0: DEBUG: kmip2::kmipCmds::KmipLocateCmdBase: [setUuidList]:50: UUID returned: <uuid> ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696 GEOM_ELI: Device nvd0s4.eli created. GEOM_ELI: Encryption: AES-XTS 256 GEOM_ELI: Crypto: software Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:140 MROOT-AK is requested. Feb 06 05:02:37 [_server-name_]: crypto_get_mroot_ak:162 Returning MROOT-AK.
显示9.16.1还原消息示例
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=] ... kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:xxxx Successfully recovered keymanager secrets.
-
如果未成功还原密钥、系统将暂停并指示它无法还原密钥。此时将显示错误和警告消息。输入以重新运行恢复过程
boot_recovery -partner。显示密钥恢复错误和警告消息的示例
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
节点重新启动后、通过确认系统恢复联机并正常运行来验证启动介质恢复是否成功。
-
通过交还存储使控制器恢复正常运行:
storage failover giveback -ofnode impaired_node_name(英文)
-
-
如果已禁用自动交还、请重新启用它:
storage failover modify -node local -auto-giveback true(英文) -
如果启用了AutoSupport、则还原自动创建案例:
system node autosupport invoke -node * -type all -message MAINT=END(英文)
在还原ONTAP映像且节点正常运行并提供数据后,您可以"将故障部件退回给NetApp"。
