在启动介质上还原ONTAP映像 - ASA A1K
建议更改
PDF
在ASA A1K系统中安装新的启动介质设备后、您可以启动自动启动介质恢复过程以从配对节点还原配置。
在恢复过程中、系统会检查是否已启用加密、并确定所使用的密钥加密类型。如果启用了密钥加密、系统将指导您完成相应的还原步骤。
-
对于 OKM,您需要集群范围的密码以及备份数据。
-
对于EMM、您需要配对节点上以下文件的副本:
-
/cfcard/kmip/servers.cfg文件。
-
/cfcard/kmip/certs/client.crt文件。
-
/cfcard/kmip/certs client.key文件。
-
/cfcard/kmip/certs或CA.prom文件。
-
-
在Loader提示符处、输入命令:
boot_recovery -partner屏幕将显示以下消息:
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
监控启动介质安装恢复过程。
此过程完成并显示 `Installation complete`消息。
-
系统将检查加密和加密类型、并显示两条消息之一。根据显示的消息、执行以下操作之一:
有时、进程可能无法确定系统上是否配置了密钥管理器。它将显示一条错误消息、询问是否为系统配置了密钥管理器、然后询问配置了哪种类型的密钥管理器。解决问题后、此过程将继续。 显示配置错误查找提示示例
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboard如果您看到此消息… 操作 key manager is not configured. Exiting.系统上未安装加密。完成以下步骤:
-
显示登录提示时、登录到节点并交还存储:
storage failover giveback -ofnode impaired_node_name -
如果已禁用自动交还、请转至步骤5以启用自动交还。
key manager is configured.转至步骤4以还原相应的密钥管理器。
节点进入启动菜单并运行:
-
选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。
-
选项11适用于具有外部密钥管理器(EKM)的系统。
-
-
选择适当的密钥管理器还原过程。
板载密钥管理器( OKM )如果检测到OKM、系统将显示以下消息并开始运行BootMenu选项10。
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
在提示符处输入 `Y`以确认您要启动OKM恢复过程。
-
出现提示时输入以下内容:
-
密码
-
当提示确认时再次输入密码
-
板载密钥管理器的备份数据
显示密码和备份数据提示的示例
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
-
从配对节点还原相应文件时、继续监控恢复过程。
恢复过程完成后、节点将重新启动。以下消息表示已成功恢复:
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
节点重新启动后、确认系统恢复联机并正常运行、以验证启动介质恢复是否成功。
-
通过交还存储使受损控制器恢复正常运行:
storage failover giveback -ofnode impaired_node_name -
在配对节点完全启动并提供数据后、在整个集群中同步OKM密钥。
security key-manager onboard sync
外部密钥管理器( EKM )如果检测到EMM、系统将显示以下消息并开始运行BootMenu选项11。
key manager is configured. Entering Bootmenu Option 11...
-
下一步取决于您的系统所运行的ONTAP版本:
如果系统正在运行 … 操作 ONTAP 9.16.0.
-
按 `Ctlr-C`退出BootMenu选项11。
-
按 `Ctlr-C`退出EKM配置过程并返回启动菜单。
-
选择BootMenu选项8。
-
重新启动节点。
如果 `AUTOBOOT`设置了、则节点将重新启动并使用配对节点中的配置文件。
如果 `AUTOBOOT`未设置、请输入相应的启动命令。节点将重新启动并使用配对节点上的配置文件。
-
重新启动节点、以便EMM保护启动介质分区。
-
继续执行步骤C
ONTAP 9.16.1 及更高版本
继续执行下一步。
-
-
出现提示时、输入以下EKM配置设置:
操作 示例 输入文件中的客户端证书内容
/cfcard/kmip/certs/client.crt。显示客户端证书内容示例
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
输入文件中的客户端密钥文件内容
/cfcard/kmip/certs/client.key。显示客户端密钥文件内容的示例
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
输入文件中的KMIP服务器CA文件内容
/cfcard/kmip/certs/CA.pem。显示KMIP服务器文件内容示例
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
输入文件中的服务器配置文件内容
/cfcard/kmip/servers.cfg。显示服务器配置文件内容示例
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
如果出现提示、请输入配对节点的ONTAP集群UUID。
您可以使用以下方式从伙伴节点检查集群 UUID `cluster identify show`命令。
显示ONTAP集群UUID示例
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).如果出现提示、请输入此节点的临时网络接口和设置。
您需要输入:
-
端口的 IP 地址
-
端口的网络掩码
-
默认网关的 IP 地址
显示临时网络设置示例
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
根据密钥是否已成功还原、执行以下操作之一:
-
如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`在输出中,EKM 配置已成功恢复。
该过程尝试从伙伴节点恢复适当的文件并重新启动该节点。转至步骤 d。
-
如果密钥未成功恢复,系统将停止并指示无法恢复密钥。显示错误和警告消息。您必须重新运行恢复过程:
boot_recovery -partner
显示密钥恢复错误和警告消息的示例
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
节点重新启动后、通过确认系统恢复联机并正常运行来验证启动介质恢复是否成功。
-
通过交还存储使控制器恢复正常运行:
storage failover giveback -ofnode impaired_node_name
-
-
如果已禁用自动交还、请重新启用它:
storage failover modify -node local -auto-giveback true -
如果启用了AutoSupport、则还原自动创建案例:
system node autosupport invoke -node * -type all -message MAINT=END
在还原ONTAP映像且节点正常运行并提供数据后,您可以"将故障部件退回给NetApp"。