Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

板载加密密钥的预关闭检查- ASA A900

贡献者

在关闭受损控制器并检查板载加密密钥的状态之前、您必须先检查受损控制器的状态、禁用自动交还、并检查系统上正在运行的ONTAP版本。

If you have a cluster with more than two nodes, it must be in quorum.如果集群未达到仲裁或运行状况良好的控制器在资格和运行状况方面显示 false ,则必须在关闭受损控制器之前更正问题描述 ;请参见 "将节点与集群同步"

步骤
  1. 检查受损控制器的状态:

    • 如果受损控制器处于登录提示符处,请以 admin 身份登录。

    • 如果受损控制器位于 LOADER 提示符处且属于 HA 配置的一部分,请以 admin 身份登录到运行正常的控制器上。

    • 如果受损控制器采用独立配置并出现 LOADER 提示符,请联系 "mysupport.netapp.com"

  2. 如果启用了 AutoSupport ,则通过调用 AutoSupport 消息禁止自动创建案例: ssystem node AutoSupport invoke -node * -type all -message MAINT=number_of_hours_downh

    以下 AutoSupport 消息禁止自动创建案例两小时: cluster1 : * > system node AutoSupport invoke -node * -type all -message MAINT=2h

  3. 使用 version -v 命令检查受损控制器(如果已启动)或配对控制器(如果受损控制器已关闭)上运行的 ONTAP 版本:

    • 如果命令输出中显示 <lno-dury> 或 <1osno-dury> ,则系统不支持 NVE ,请继续关闭控制器。

ONTAP 9.6 及更高版本

在关闭受损控制器之前,您需要验证系统是否已启用 NetApp 卷加密( NVE )或 NetApp 存储加密( NSE )。If so, you need to verify the configuration.

  1. 验证集群中的任何卷是否正在使用 NVE : volume show -is-encrypted true

    If any volumes are listed in the output, NVE is configured and you need to verify the NVE configuration.如果未列出任何卷,请检查是否已配置 NSE 并正在使用此 NSE 。

  2. 验证是否已配置 NSE 并正在使用: storage encryption disk show

    • 如果命令输出列出了驱动器详细信息以及模式和密钥 ID 信息,则表示已配置 NSE ,您需要验证 NSE 配置和正在使用的。

    • 如果未显示任何磁盘,则表示未配置 NSE 。

    • 如果未配置 NVE 和 NSE ,则不会使用 NSE 密钥保护任何驱动器,因此可以安全地关闭受损的控制器。

验证 NVE 配置

  1. 显示密钥管理服务器上存储的身份验证密钥的密钥ID: security key-manager key query

    备注 在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIPAKVGCP 。确认这些类型的过程与确认 外部板载 密钥管理器类型相同。
    • 如果 密钥管理器 类型显示 external ,而 restored 列显示 yes ,则可以安全地关闭受损的控制器。

    • 如果 密钥管理器 类型显示 板载还原 列显示 ,则需要完成一些额外步骤。

    • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

    • 如果 密钥管理器 类型显示 板载还原 列显示除 以外的任何内容,则需要完成一些额外步骤。

  2. 如果 Key Manager type 显示 板载Restored 列显示 yes ,请手动备份 OKM 信息:

    1. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    2. 输入命令以显示密钥管理信息: security key-manager on板 载 show-backup

    3. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    4. 返回到管理模式: set -priv admin

    5. 关闭受损控制器。

  3. 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容:

    1. 将外部密钥管理身份验证密钥还原到集群中的所有节点: security key-manager external restore

      如果命令失败,请联系 NetApp 支持部门。

    1. 验证是否已 Restored 列等于 yes 对于所有身份验证密钥: security key-manager key query

    2. 关闭受损控制器。

  4. 如果 Key Manager type 显示 板载Restored 列显示除 yes 以外的任何内容:

    1. 输入板载 security key-manager sync 命令: ssecurity key-manager on板 载同步

      备注 在提示符处输入客户的32个字符的字母数字板载密钥管理密码短语。If the passphrase cannot be provided, contact NetApp Support. "mysupport.netapp.com"
    2. 验证 Restored 列显示 yes 对于所有身份验证密钥: security key-manager key query

    3. 验证 Key Manager type 是否显示 板载 ,然后手动备份 OKM 信息。

    4. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    5. 输入命令以显示密钥管理备份信息: security key-manager on板 载 show-backup

    6. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    7. 返回到管理模式: set -priv admin

    8. 您可以安全地关闭控制器。

验证 NSE 配置

  1. 显示密钥管理服务器上存储的身份验证密钥的密钥ID: security key-manager key query -key-type NSE-AK

    备注 在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIPAKVGCP 。确认这些类型的过程与确认 外部板载 密钥管理器类型相同。
    • 如果 密钥管理器 类型显示 external ,而 restored 列显示 yes ,则可以安全地关闭受损的控制器。

    • 如果 密钥管理器 类型显示 板载还原 列显示 ,则需要完成一些额外步骤。

    • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

    • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

  2. 如果 Key Manager type 显示 板载Restored 列显示 yes ,请手动备份 OKM 信息:

    1. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    2. 输入命令以显示密钥管理信息: security key-manager on板 载 show-backup

    3. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    4. 返回到管理模式: set -priv admin

    5. 您可以安全地关闭控制器。

  3. 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容:

    1. 将外部密钥管理身份验证密钥还原到集群中的所有节点: security key-manager external restore

      如果命令失败,请联系 NetApp 支持部门。

    1. 验证是否已 Restored 列等于 yes 对于所有身份验证密钥: security key-manager key query

    2. 您可以安全地关闭控制器。

  4. 如果 Key Manager type 显示 板载Restored 列显示除 yes 以外的任何内容:

    1. 输入板载 security key-manager sync 命令: ssecurity key-manager on板 载同步

      在提示符处输入客户的32个字符的字母数字板载密钥管理密码短语。If the passphrase cannot be provided, contact NetApp Support.

    1. 验证 Restored 列显示 yes 对于所有身份验证密钥: security key-manager key query

    2. 验证 Key Manager type 是否显示 板载 ,然后手动备份 OKM 信息。

    3. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    4. 输入命令以显示密钥管理备份信息: security key-manager on板 载 show-backup

    5. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    6. 返回到管理模式: set -priv admin

    7. 您可以安全地关闭控制器。