启动恢复映像- ASA A800
在关闭受损控制器并检查板载加密密钥的状态之前、您必须先检查受损控制器的状态、禁用自动交还、并检查系统上正在运行的ONTAP版本。
If you have a cluster with more than two nodes, it must be in quorum.如果集群未达到仲裁或运行状况良好的控制器在资格和运行状况方面显示 false ,则必须在关闭受损控制器之前更正问题描述 ;请参见 "将节点与集群同步"。
-
检查受损控制器的状态:
-
如果受损控制器处于登录提示符处,请以
admin
身份登录。 -
如果受损控制器位于 LOADER 提示符处且属于 HA 配置的一部分,请以
admin
身份登录到运行正常的控制器上。 -
如果受损控制器采用独立配置并出现 LOADER 提示符,请联系 "mysupport.netapp.com"。
-
-
如果启用了 AutoSupport ,则通过调用 AutoSupport 消息禁止自动创建案例:
ssystem node AutoSupport invoke -node * -type all -message MAINT=number_of_hours_downh
以下 AutoSupport 消息禁止自动创建案例两小时:
cluster1 : * > system node AutoSupport invoke -node * -type all -message MAINT=2h
-
使用
version -v
命令检查受损控制器(如果已启动)或配对控制器(如果受损控制器已关闭)上运行的 ONTAP 版本:-
如果命令输出中显示 <lno-dury> 或 <1osno-dury> ,则系统不支持 NVE ,请继续关闭控制器。
-
如果命令输出中未显示 <lno-dur> ,并且系统运行的是 ONTAP 9.5 ,请转至 选项 1 :在运行 ONTAP 9.5 及更早版本的系统上检查 NVE 或 NSE。
-
如果命令输出中未显示 <lno-dur> ,并且系统运行的是 ONTAP 9.6 或更高版本,请转至 选项 2 :在运行 ONTAP 9.6 及更高版本的系统上检查 NVE 或 NSE。
-
-
如果受损控制器属于 HA 配置,请禁用从运行状况良好的控制器自动交还:
storage failover modify -node local -auto-giveback false
或storage failover modify -node local -auto-giveback-after-panic false
选项 1 :在运行 ONTAP 9.5 及更早版本的系统上检查 NVE 或 NSE
在关闭受损控制器之前,您需要检查系统是否已启用 NetApp 卷加密( NVE )或 NetApp 存储加密( NSE )。If so, you need to verify the configuration.
-
将控制台缆线连接到受损的控制器。
-
检查是否为集群中的任何卷配置了 NVE :
volume show -is-encrypted true
如果输出中列出了任何卷,则会配置 NVE ,您需要验证 NVE 配置。如果未列出任何卷,请检查是否已配置 NSE 。
-
检查是否已配置 NSE :
storage encryption disk show
-
如果命令输出列出了驱动器详细信息以及模式和密钥 ID 信息,则表示已配置 NSE ,您需要验证 NSE 配置。
-
如果未配置 NVE 和 NSE ,则可以安全地关闭受损控制器。
-
验证 NVE 配置
-
显示密钥管理服务器上存储的身份验证密钥的密钥 ID :
security key-manager query
-
如果
Restored
列显示yes
且所有密钥管理器显示Available
,则可以安全地关闭受损的控制器。 -
如果
Restored
列显示yes
以外的任何内容,或者任何密钥管理器显示不可用
,则需要完成一些额外步骤。 -
如果在启用板载密钥管理时看到消息 this command is not supported ,则需要完成其他一些步骤。
-
-
如果
restored
列显示yes
以外的任何内容,或者任何密钥管理器显示不可用
:-
检索并还原所有身份验证密钥和关联密钥 ID :
security key-manager restore -address *
如果命令失败,请联系 NetApp 支持部门。
-
验证所有身份验证密钥的
Restored
列是否显示yes
,以及所有密钥管理器是否显示Available
:sSecurity key-manager query
-
关闭受损控制器。
-
-
如果在启用板载密钥管理后看到消息 this command is not supported when on板 载密钥管理器,请显示存储在板载密钥管理器中的密钥:
security key-manager key show -detail
-
如果
Restored
列显示yes
manually back up the on板 载密钥管理信息:-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
Enter the command to display the OKM backup information:
security key-manager backup show
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
关闭受损控制器。
-
-
如果
Restored
列显示除yes
以外的任何内容:-
运行 key-manager 设置向导:
security key-manager setup -node target/impaired node name
在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 "mysupport.netapp.com" -
验证所有身份验证密钥
ssecuritykey-manager key show -detail
的restored
列是否显示yes
-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
Enter the command to display the OKM backup information:
security key-manager backup show
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
您可以安全地关闭控制器。
-
-
验证 NSE 配置
-
显示密钥管理服务器上存储的身份验证密钥的密钥 ID :
security key-manager query
-
如果
Restored
列显示yes
且所有密钥管理器显示Available
,则可以安全地关闭受损的控制器。 -
如果
Restored
列显示yes
以外的任何内容,或者任何密钥管理器显示不可用
,则需要完成一些额外步骤。 -
如果在启用板载密钥管理时看到消息 this command is not supported ,则需要完成其他一些步骤
-
-
如果
restored
列显示yes
以外的任何内容,或者任何密钥管理器显示不可用
:-
检索并还原所有身份验证密钥和关联密钥 ID :
security key-manager restore -address *
如果命令失败,请联系 NetApp 支持部门。
-
验证所有身份验证密钥的
Restored
列是否显示yes
,以及所有密钥管理器是否显示Available
:sSecurity key-manager query
-
关闭受损控制器。
-
-
如果在启用板载密钥管理后看到消息 this command is not supported when on板 载密钥管理器,请显示存储在板载密钥管理器中的密钥:
security key-manager key show -detail
-
如果
Restored
列显示yes
,请手动备份板载密钥管理信息:-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
Enter the command to display the OKM backup information:
security key-manager backup show
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
关闭受损控制器。
-
-
如果
Restored
列显示除yes
以外的任何内容:-
运行 key-manager 设置向导:
security key-manager setup -node target/impaired node name
在提示符处输入客户的 OKM 密码短语。如果无法提供密码短语,请联系 "mysupport.netapp.com" -
验证所有身份验证密钥的
restored
列是否显示yes
:security key-manager key show -detail
-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
输入命令以备份 OKM 信息:
security key-manager backup show
Make sure that OKM information is saved in your log file.在可能需要手动恢复 OKM 的灾难情形下,需要此信息。 -
将备份信息的内容复制到单独的文件或日志中。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
您可以安全地关闭控制器。
-
-
选项 2 :在运行 ONTAP 9.6 及更高版本的系统上检查 NVE 或 NSE
在关闭受损控制器之前,您需要验证系统是否已启用 NetApp 卷加密( NVE )或 NetApp 存储加密( NSE )。If so, you need to verify the configuration.
-
验证集群中的任何卷是否正在使用 NVE :
volume show -is-encrypted true
If any volumes are listed in the output, NVE is configured and you need to verify the NVE configuration.如果未列出任何卷,请检查是否已配置 NSE 并正在使用此 NSE 。
-
验证是否已配置 NSE 并正在使用:
storage encryption disk show
-
如果命令输出列出了驱动器详细信息以及模式和密钥 ID 信息,则表示已配置 NSE ,您需要验证 NSE 配置和正在使用的。
-
如果未显示任何磁盘,则表示未配置 NSE 。
-
如果未配置 NVE 和 NSE ,则不会使用 NSE 密钥保护任何驱动器,因此可以安全地关闭受损的控制器。
-
验证 NVE 配置
-
显示密钥管理服务器上存储的身份验证密钥的密钥ID:
security key-manager key query
在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIP
,AKV
和GCP
。确认这些类型的过程与确认外部
或板载
密钥管理器类型相同。-
如果
密钥管理器
类型显示external
,而restored
列显示yes
,则可以安全地关闭受损的控制器。 -
如果
密钥管理器
类型显示板载
且还原
列显示是
,则需要完成一些额外步骤。 -
如果
Key Manager
type 显示external
,而restored
列显示除yes
以外的任何内容,则需要完成一些额外步骤。 -
如果
密钥管理器
类型显示板载
且还原
列显示除是
以外的任何内容,则需要完成一些额外步骤。
-
-
如果
Key Manager
type 显示板载
且Restored
列显示yes
,请手动备份 OKM 信息:-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
输入命令以显示密钥管理信息:
security key-manager on板 载 show-backup
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
关闭受损控制器。
-
-
如果
Key Manager
type 显示external
,而restored
列显示除yes
以外的任何内容:-
将外部密钥管理身份验证密钥还原到集群中的所有节点:
security key-manager external restore
如果命令失败,请联系 NetApp 支持部门。
-
验证是否已
Restored
列等于yes
对于所有身份验证密钥:security key-manager key query
-
关闭受损控制器。
-
-
如果
Key Manager
type 显示板载
且Restored
列显示除yes
以外的任何内容:-
输入板载 security key-manager sync 命令:
ssecurity key-manager on板 载同步
在提示符处输入客户的32个字符的字母数字板载密钥管理密码短语。If the passphrase cannot be provided, contact NetApp Support. "mysupport.netapp.com" -
验证
Restored
列显示yes
对于所有身份验证密钥:security key-manager key query
-
验证
Key Manager
type 是否显示板载
,然后手动备份 OKM 信息。 -
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
输入命令以显示密钥管理备份信息:
security key-manager on板 载 show-backup
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
您可以安全地关闭控制器。
-
验证 NSE 配置
-
显示密钥管理服务器上存储的身份验证密钥的密钥ID:
security key-manager key query -key-type NSE-AK
在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIP
,AKV
和GCP
。确认这些类型的过程与确认外部
或板载
密钥管理器类型相同。-
如果
密钥管理器
类型显示external
,而restored
列显示yes
,则可以安全地关闭受损的控制器。 -
如果
密钥管理器
类型显示板载
且还原
列显示是
,则需要完成一些额外步骤。 -
如果
Key Manager
type 显示external
,而restored
列显示除yes
以外的任何内容,则需要完成一些额外步骤。 -
如果
Key Manager
type 显示external
,而restored
列显示除yes
以外的任何内容,则需要完成一些额外步骤。
-
-
如果
Key Manager
type 显示板载
且Restored
列显示yes
,请手动备份 OKM 信息:-
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
输入命令以显示密钥管理信息:
security key-manager on板 载 show-backup
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
您可以安全地关闭控制器。
-
-
如果
Key Manager
type 显示external
,而restored
列显示除yes
以外的任何内容:-
将外部密钥管理身份验证密钥还原到集群中的所有节点:
security key-manager external restore
如果命令失败,请联系 NetApp 支持部门。
-
验证是否已
Restored
列等于yes
对于所有身份验证密钥:security key-manager key query
-
您可以安全地关闭控制器。
-
-
如果
Key Manager
type 显示板载
且Restored
列显示除yes
以外的任何内容:-
输入板载 security key-manager sync 命令:
ssecurity key-manager on板 载同步
在提示符处输入客户的32个字符的字母数字板载密钥管理密码短语。If the passphrase cannot be provided, contact NetApp Support.
-
验证
Restored
列显示yes
对于所有身份验证密钥:security key-manager key query
-
验证
Key Manager
type 是否显示板载
,然后手动备份 OKM 信息。 -
转到高级权限模式,并在系统提示您继续时输入
y
:set -priv advanced
-
输入命令以显示密钥管理备份信息:
security key-manager on板 载 show-backup
-
将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。
-
返回到管理模式:
set -priv admin
-
您可以安全地关闭控制器。
-