简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

从合作伙伴节点自动恢复启动介质 - ASA A400

08/29/2025 贡献者

PDF

在ASA A400系统中安装新的启动介质设备后，您可以启动自动启动介质恢复过程，以从配对节点恢复配置。在恢复过程中，系统会检查是否已启用加密，并确定正在使用的密钥加密类型。如果已启用密钥加密，系统将引导您完成相应的恢复步骤。

自动启动介质恢复过程仅在ONTAP 9.17.1 及更高版本中受支持。如果您的存储系统运行的是早期版本的ONTAP，请使用"手动启动恢复程序" 。

开始之前

对于 OKM，您需要集群范围的密码以及备份数据。
对于EMM、您需要配对节点上以下文件的副本：
- /cfcard/kmip/servers.cfg文件。
- /cfcard/kmip/certs/client.crt文件。
- /cfcard/kmip/certs client.key文件。
- /cfcard/kmip/certs或CA.prom文件。

步骤

在Loader提示符处、输入命令：

boot_recovery -partner

屏幕将显示以下消息：

Starting boot media recovery (BMR) process. Press Ctrl-C to abort…
监控启动介质安装恢复过程。

此过程完成并显示 `Installation complete`消息。

系统将检查加密和加密类型、并显示两条消息之一。根据显示的消息、执行以下操作之一：

有时、进程可能无法确定系统上是否配置了密钥管理器。它将显示一条错误消息、询问是否为系统配置了密钥管理器、然后询问配置了哪种类型的密钥管理器。解决问题后、此过程将继续。

显示配置错误查找提示示例

Error when fetching key manager config from partner ${partner_ip}: ${status}

Has key manager been configured on this system

Is the key manager onboard

如果您看到此消息… 操作

如果您看到此消息…	操作
`key manager is not configured. Exiting.`	系统上未安装加密。完成以下步骤：显示登录提示时、登录到节点并交还存储： `storage failover giveback -ofnode impaired_node_name` 如果已禁用自动交还、请转至步骤5以启用自动交还。
`key manager is configured.`	转至步骤4以还原相应的密钥管理器。节点进入启动菜单并运行：选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。选项11适用于具有外部密钥管理器(EKM)的系统。

key manager is not configured. Exiting.

系统上未安装加密。完成以下步骤：

显示登录提示时、登录到节点并交还存储：

storage failover giveback -ofnode impaired_node_name
如果已禁用自动交还、请转至步骤5以启用自动交还。

key manager is configured.

转至步骤4以还原相应的密钥管理器。

节点进入启动菜单并运行：

选项10适用于具有板载密钥管理器(Onboard Key Manager、OKM)的系统。
选项11适用于具有外部密钥管理器(EKM)的系统。

选择适当的密钥管理器还原过程。

板载密钥管理器（ OKM ）

如果检测到OKM、系统将显示以下消息并开始运行BootMenu选项10。

key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

在提示符处输入 `Y`以确认您要启动OKM恢复过程。

出现提示时输入以下内容：

密码
当提示确认时再次输入密码

板载密钥管理器的备份数据

显示密码和备份数据提示的示例

Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

从配对节点还原相应文件时、继续监控恢复过程。

恢复过程完成后、节点将重新启动。以下消息表示已成功恢复：

Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

节点重新启动后、确认系统恢复联机并正常运行、以验证启动介质恢复是否成功。
通过交还存储使受损控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name
在配对节点完全启动并提供数据后、在整个集群中同步OKM密钥。

security key-manager onboard sync

外部密钥管理器（ EKM ）

如果检测到EMM、系统将显示以下消息并开始运行BootMenu选项11。

key manager is configured.
Entering Bootmenu Option 11...

下一步取决于您的系统所运行的ONTAP版本：

如果系统正在运行 …	操作
ONTAP 9.16.0.	按 `Ctlr-C`退出BootMenu选项11。按 `Ctlr-C`退出EKM配置过程并返回启动菜单。选择BootMenu选项8。重新启动节点。如果 `AUTOBOOT`设置了、则节点将重新启动并使用配对节点中的配置文件。如果 `AUTOBOOT`未设置、请输入相应的启动命令。节点将重新启动并使用配对节点上的配置文件。重新启动节点、以便EMM保护启动介质分区。继续执行步骤C
ONTAP 9.16.1 及更高版本	继续执行下一步。

如果系统正在运行 …

操作

ONTAP 9.16.0.

按 `Ctlr-C`退出BootMenu选项11。
按 `Ctlr-C`退出EKM配置过程并返回启动菜单。
选择BootMenu选项8。
重新启动节点。

如果 `AUTOBOOT`设置了、则节点将重新启动并使用配对节点中的配置文件。

如果 `AUTOBOOT`未设置、请输入相应的启动命令。节点将重新启动并使用配对节点上的配置文件。
重新启动节点、以便EMM保护启动介质分区。
继续执行步骤C

ONTAP 9.16.1 及更高版本

继续执行下一步。

出现提示时、输入以下EKM配置设置：

操作示例

操作	示例
输入文件中的客户端证书内容 `/cfcard/kmip/certs/client.crt`。	显示客户端证书内容示例 -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
输入文件中的客户端密钥文件内容 `/cfcard/kmip/certs/client.key`。	显示客户端密钥文件内容的示例 -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
输入文件中的KMIP服务器CA文件内容 `/cfcard/kmip/certs/CA.pem`。	显示KMIP服务器文件内容示例 -----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
输入文件中的服务器配置文件内容 `/cfcard/kmip/servers.cfg`。	显示服务器配置文件内容示例 xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
如果出现提示、请输入配对节点的ONTAP集群UUID。您可以使用以下方式从伙伴节点检查集群 UUID `cluster identify show`命令。	显示ONTAP集群UUID示例 Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).
如果出现提示、请输入此节点的临时网络接口和设置。您需要输入：端口的 IP 地址端口的网络掩码默认网关的 IP 地址	显示临时网络设置示例 In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]

输入文件中的客户端证书内容 /cfcard/kmip/certs/client.crt。

显示客户端证书内容示例

-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

输入文件中的客户端密钥文件内容 /cfcard/kmip/certs/client.key。

显示客户端密钥文件内容的示例

-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

输入文件中的KMIP服务器CA文件内容 /cfcard/kmip/certs/CA.pem。

显示KMIP服务器文件内容示例

-----BEGIN CERTIFICATE-----
<KMIP_certificate_CA_value>
-----END CERTIFICATE-----

输入文件中的服务器配置文件内容 /cfcard/kmip/servers.cfg。

显示服务器配置文件内容示例

xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

如果出现提示、请输入配对节点的ONTAP集群UUID。

您可以使用以下方式从伙伴节点检查集群 UUID `cluster identify show`命令。

显示ONTAP集群UUID示例

Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

如果出现提示、请输入此节点的临时网络接口和设置。

您需要输入：

端口的 IP 地址
端口的网络掩码
默认网关的 IP 地址

显示临时网络设置示例

In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

根据密钥是否已成功还原、执行以下操作之一：

如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`在输出中，EKM 配置已成功恢复。

该过程尝试从伙伴节点恢复适当的文件并重新启动该节点。转至步骤 d。
如果密钥未成功恢复，系统将停止并指示无法恢复密钥。显示错误和警告消息。您必须重新运行恢复过程：

boot_recovery -partner

显示密钥恢复错误和警告消息的示例

ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

节点重新启动后、通过确认系统恢复联机并正常运行来验证启动介质恢复是否成功。
通过交还存储使控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name

如果已禁用自动交还、请重新启用它：

storage failover modify -node local -auto-giveback true
如果启用了AutoSupport、则还原自动创建案例：

system node autosupport invoke -node * -type all -message MAINT=END

下一步行动

在还原ONTAP映像且节点正常运行并提供数据后，您可以"将故障部件退回给NetApp"。

从合作伙伴节点自动恢复启动介质 - ASA A400

Creating your file...