Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

OKM、NSE和NVE的启动后介质更换步骤- ASA A900

贡献者

选中环境变量后、您必须完成特定于还原板载密钥管理器(OKM)、NetApp存储加密(NSE)和NetApp卷加密(NVE)的步骤。

确定应使用哪个部分还原 OKM , NSE 或 NVE 配置:如果已启用 NSE 或 NVE 以及板载密钥管理器,则必须还原在此操作步骤开头捕获的设置。

启用板载密钥管理器后还原 NVE 或 NSE

步骤
  1. 将控制台缆线连接到目标控制器。

  2. 在 LOADER 提示符处使用 boot_ontap 命令启动控制器。

  3. 检查控制台输出:

    如果控制台显示 …​ 那么 …​

    LOADER 提示符

    将控制器启动到启动菜单: boot_ontap menu

    正在等待交还

    1. 在提示符处输入 Ctrl-C

    2. 出现消息: Do you donde halt this node rather than wait [y/n] ?,输入: y

    3. 在 LOADER 提示符处,输入 boot_ontap menu 命令。

  4. 在启动菜单中,输入隐藏的命令 re封装板载密钥管理器 ,然后在提示符处回答 y

  5. 输入您在此操作步骤开头从客户处获取的板载密钥管理器的密码短语。

  6. 当系统提示您输入备份数据时,请根据要求粘贴您在本节开头捕获的备份数据。粘贴 security key-manager backup showsecurity key-manager on板 载 show-backup 命令的输出。

    备注 数据是从 ssecurity key-manager backup show 或 security key-manager on板 载 show-backup` 命令输出的。

    备份数据示例:

    输入备份数据:

    --------------- 开始备份——————— QABWIETLESBCbG9iAAAAAAAAAAAAAAAAAAEAAAACADID+bAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABvOlH0AAAMH7qDLIWAH1DBZ12piVOT9ATSFMT0C0TlYAFASS4ADAAAAAAQAAAAAAAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAQAAAQAA。。。H4nPQM0nrDRYRA9Scv8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAA

    --------------- 结束备份———————

  7. 在启动菜单中,选择正常启动选项。

    系统将启动并显示 Waiting for giveback…​ 提示符。

  8. 将控制台缆线移至配对控制器并以管理员身份登录。

  9. 使用 storage failover show 命令确认目标控制器已准备好进行交还。

  10. 使用 storage failover giveback -fromnode local -only-cfo-aggregates true 命令仅交还 CFO 聚合。

    • 如果命令因磁盘发生故障而失败,请物理断开故障磁盘,但将磁盘保留在插槽中,直到收到更换磁盘为止。

    • 如果命令因 CIFS 会话打开而失败,请与客户确认如何关闭 CIFS 会话。

      备注 终止 CIFS 可能会导致数据发生原因丢失。
    • 如果命令因配对节点 " 未就绪 " 而失败,请等待 5 分钟,使 NVRAM 同步。

    • If the command fails because of an NDMP, SnapMirror, or SnapVault process, disable the process.有关详细信息,请参见相应的内容。

  11. 交还完成后,使用 storage failover showstorage failover show-giveback 命令检查故障转移和交还状态。

    仅显示 CFO 聚合(根聚合和 CFO 模式的数据聚合)。

  12. 如果您运行的是 ONTAP 9.6 或更高版本,请运行 security key-manager 板载同步:

    1. 运行 security key-manager on板 载 sync 命令,然后在出现提示时输入密码短语。

    2. 输入 security key-manager key-query 命令可查看板载密钥管理器中存储的所有密钥的详细视图,并验证所有身份验证密钥的 restored column = yes/true

      备注 如果 Restored 列 = yes/true 以外的任何内容,请联系客户支持。
    3. 等待 10 分钟,使密钥在整个集群中同步。

  13. 将控制台缆线移至配对控制器。

  14. 使用 storage failover giveback -fromnode local 命令交还目标控制器。

  15. 使用 storage failover show 命令在交还报告完成三分钟后检查交还状态。

    如果 20 分钟后交还未完成,请联系客户支持。

  16. 在 clustershell 提示符处,输入 net int show -is-home false 命令以列出不在其主控制器和端口上的逻辑接口。

    如果任何接口列为 false,使用将这些接口还原回其主端口 net int revert -vserver Cluster -lif nodename 命令:

  17. 将控制台缆线移至目标控制器,然后运行 version -v 命令以检查 ONTAP 版本。

  18. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。

在运行 ONTAP 9.6 及更高版本的系统上还原 NSE/NVE

步骤
  1. 将控制台缆线连接到目标控制器。

  2. 在 LOADER 提示符处使用 boot_ontap 命令启动控制器。

  3. 检查控制台输出:

    如果控制台显示 …​ 那么 …​

    登录提示符

    转至第 7 步。

    正在等待交还

    1. 登录到配对控制器。

    2. 使用 storage failover show 命令确认目标控制器已准备好进行交还。

  4. 使用 storage failover giveback -fromnode local -only-cfo-aggregates true local 命令将控制台缆线移至配对控制器并交还目标控制器存储。

    • 如果命令因磁盘发生故障而失败,请物理断开故障磁盘,但将磁盘保留在插槽中,直到收到更换磁盘为止。

    • 如果命令因 CIFS 会话打开而失败,请与客户联系,了解如何关闭 CIFS 会话。

      备注 终止 CIFS 可能会导致数据发生原因丢失。
    • 如果命令因配对节点 " 未就绪 " 而失败,请等待 5 分钟,使 NVMEM 同步。

    • If the command fails because of an NDMP, SnapMirror, or SnapVault process, disable the process.有关详细信息,请参见相应的内容。

  5. 等待 3 分钟,然后使用 storage failover show 命令检查故障转移状态。

  6. 在 clustershell 提示符处,输入 net int show -is-home false 命令以列出不在其主控制器和端口上的逻辑接口。

    如果任何接口列为 false,使用将这些接口还原回其主端口 net int revert -vserver Cluster -lif nodename 命令:

  7. 将控制台缆线移至目标控制器,然后运行 version -v 命令以检查 ONTAP 版本。

  8. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。

  9. 在 clustershell 提示符处使用 storage encryption disk show 查看输出。

  10. 使用 security key-manager key-query 命令显示存储在密钥管理服务器上的加密和身份验证密钥。

    • 如果 restored column = yes/true ,则表示您已完成更换过程,并可继续完成更换过程。

    • 如果 Key Manager type = external and the restored column = anything other than yes/true ,请使用 security key-manager external restore 命令还原身份验证密钥的密钥 ID 。

      备注 如果命令失败,请联系客户支持。
    • 如果 密钥管理器类型 = 板载还原 列 = 除 yes/true 以外的任何其他内容,请使用 security key-manager on板 载同步 命令重新同步密钥管理器类型。

      使用 security key-manager key-query 命令验证所有身份验证密钥的 restored column = yes/true

  11. 将控制台缆线连接到配对控制器。

  12. 使用 storage failover giveback -fromnode local 命令交还控制器。

  13. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。