简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

从合作伙伴节点自动恢复启动介质 - ASA A800

11/25/2025 贡献者

PDF

在ASA A800系统中安装新的启动介质设备后，您可以启动自动启动介质恢复过程，以从配对节点恢复配置。在恢复过程中，系统会检查是否已启用加密，并确定正在使用的密钥加密类型。如果已启用密钥加密，系统将引导您完成相应的恢复步骤。

自动启动介质恢复过程仅在ONTAP 9.17.1 及更高版本中受支持。如果您的存储系统运行的是早期版本的ONTAP，请使用"手动启动恢复程序" 。

开始之前

确定您的密钥管理器类型：
- 板载密钥管理器 (OKM)：需要集群范围的密码短语和备份数据
- 外部密钥管理器 (EKM)：需要来自伙伴节点的以下文件：
  - /cfcard/kmip/servers.cfg
  - /cfcard/kmip/certs/client.crt
  - /cfcard/kmip/certs/client.key
  - /cfcard/kmip/certs/CA.pem

步骤

在 LOADER 提示符下，启动启动介质恢复过程：

boot_recovery -partner

屏幕将显示以下消息：

Starting boot media recovery (BMR) process. Press Ctrl-C to abort…
监控启动介质安装恢复过程。

此过程完成并显示 `Installation complete`消息。

系统检查加密情况，并显示以下消息之一：

如果您看到此消息… 操作

如果您看到此消息…	操作
`key manager is not configured. Exiting.`	系统未安装加密功能。等待登录提示出现。登录节点并归还存储空间： `storage failover giveback -ofnode impaired_node_name` 前往重新启用自动返还功能如果它被禁用了。
`key manager is configured.`	已安装加密功能。前往恢复密钥管理器。

key manager is not configured. Exiting.

系统未安装加密功能。

等待登录提示出现。
登录节点并归还存储空间：

storage failover giveback -ofnode impaired_node_name
前往重新启用自动返还功能如果它被禁用了。

key manager is configured.

已安装加密功能。前往恢复密钥管理器。

如果系统无法识别密钥管理器配置，则会显示错误消息，并提示您确认是否已配置密钥管理器以及配置类型（板载或外部）。请回答提示以继续。

请使用适合您配置的步骤恢复密钥管理器：

板载密钥管理器（ OKM ）

系统显示以下消息并开始运行启动菜单选项 10：

key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

进入 `y`在提示时确认您是否要开始 OKM 恢复过程。
出现提示时，请输入机载密钥管理密码。
出现确认提示时，请再次输入密码。

出现提示时，输入车载密钥管理器的备份数据。

显示密码和备份数据提示的示例

Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

监控恢复过程，看它如何从伙伴节点恢复相应的文件。

恢复过程完成后，节点将重新启动。以下信息表明恢复成功：

Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

节点重启后，验证系统是否恢复在线并正常运行。
通过交还存储使受损控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name
在伙伴节点完全启动并开始提供数据服务后，同步集群中的 OKM 密钥：

security key-manager onboard sync

前往重新启用自动返还功能如果它被禁用了。

外部密钥管理器（ EKM ）

系统显示以下消息并开始运行启动菜单选项 11：

key manager is configured.
Entering Bootmenu Option 11...

出现提示时，请输入EKM配置设置：

请输入客户端证书的内容。 `/cfcard/kmip/certs/client.crt`文件：
显示客户端证书内容示例
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
请输入客户端密钥文件的内容。 `/cfcard/kmip/certs/client.key`文件：
显示客户端密钥文件内容的示例
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
从以下位置输入 KMIP 服务器 CA(s) 文件的内容： `/cfcard/kmip/certs/CA.pem`文件：
显示KMIP服务器文件内容示例
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----

输入服务器配置文件内容 `/cfcard/kmip/servers.cfg`文件：

显示服务器配置文件内容示例

xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

如果出现提示，请输入伙伴节点的ONTAP集群 UUID。您可以使用以下命令从伙伴节点检查集群 UUID： `cluster identify show`命令。

显示ONTAP集群 UUID 提示示例

Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

如果出现提示，请输入节点的临时网络接口和设置：

端口的 IP 地址
端口的网络掩码

默认网关的 IP 地址

显示临时网络设置提示示例

In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

验证密钥恢复状态：

如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`输出结果显示，EKM 配置已成功恢复。该过程从伙伴节点恢复相应的文件并重启节点。继续下一步。

如果密钥恢复失败，系统将停止运行并显示错误和警告信息。从 LOADER 提示符重新运行恢复过程： boot_recovery -partner

显示密钥恢复错误和警告消息的示例

ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

节点重启后，验证系统是否恢复在线并正常运行。
通过交还存储使控制器恢复正常运行：

storage failover giveback -ofnode impaired_node_name

前往重新启用自动返还功能如果它被禁用了。

如果已禁用自动交还、请重新启用它：

storage failover modify -node local -auto-giveback true
如果启用了AutoSupport、则还原自动创建案例：

system node autosupport invoke -node * -type all -message MAINT=END

下一步行动

在还原ONTAP映像且节点正常运行并提供数据后，您可以"将故障部件退回给NetApp"。

从合作伙伴节点自动恢复启动介质 - ASA A800

Creating your file...