简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

检查板载加密密钥 - AFF A220 和 FAS2700

在关闭受损控制器并检查板载加密密钥的状态之前,您必须检查受损控制器的状态,禁用自动交还并检查正在运行的 ONTAP 版本。

If you have a cluster with more than two nodes, it must be in quorum.如果集群未达到仲裁或运行状况良好的控制器在资格和运行状况方面显示 false ,则必须在关闭受损控制器之前更正问题描述 ;请参见 "使用命令行界面概述 NetApp 加密"

步骤
  1. 检查受损控制器的状态:

    • 如果受损控制器处于登录提示符处,请以 admin 身份登录。

    • 如果受损控制器位于 LOADER 提示符处且属于 HA 配置的一部分,请以 admin 身份登录到运行正常的控制器上。

    • 如果受损控制器采用独立配置并出现 LOADER 提示符,请联系 "mysupport.netapp.com"

  2. 如果启用了 AutoSupport ,则通过调用 AutoSupport 消息禁止自动创建案例: ssystem node AutoSupport invoke -node * -type all -message MAINT=number_of_hours_downh

    以下 AutoSupport 消息禁止自动创建案例两小时: cluster1 : * > system node AutoSupport invoke -node * -type all -message MAINT=2h

  3. 使用 version -v 命令检查受损控制器(如果已启动)或配对控制器(如果受损控制器已关闭)上运行的 ONTAP 版本:

  4. 如果受损控制器属于 HA 配置,请禁用从运行状况良好的控制器自动交还: storage failover modify -node local -auto-giveback falsestorage failover modify -node local -auto-giveback-after-panic false

选项 1 :在运行 ONTAP 9.5 及更早版本的系统上检查 NVE 或 NSE

在关闭受损控制器之前,您需要检查系统是否已启用 NetApp 卷加密( NVE )或 NetApp 存储加密( NSE )。If so, you need to verify the configuration.

步骤
  1. 将控制台缆线连接到受损的控制器。

  2. 检查是否为集群中的任何卷配置了 NVE : volume show -is-encrypted true

    如果输出中列出了任何卷,则会配置 NVE ,您需要验证 NVE 配置。如果未列出任何卷,请检查是否已配置 NSE 。

  3. 检查是否已配置 NSE : storage encryption disk show

    • 如果命令输出列出了驱动器详细信息以及模式和密钥 ID 信息,则表示已配置 NSE ,您需要验证 NSE 配置。

    • 如果未配置 NVE 和 NSE ,则可以安全地关闭受损控制器。

验证 NVE 配置

步骤
  1. 显示密钥管理服务器上存储的身份验证密钥的密钥 ID : security key-manager query

    • 如果 Restored 列显示 yes 且所有密钥管理器显示 Available ,则可以安全地关闭受损的控制器。

    • 如果 Restored 列显示 yes 以外的任何内容,或者任何密钥管理器显示 不可用 ,则需要完成一些额外步骤。

    • 如果在启用板载密钥管理时看到消息 this command is not supported ,则需要完成其他一些步骤。

  2. 如果 restored 列显示 yes 以外的任何内容,或者任何密钥管理器显示 不可用

    1. 检索并还原所有身份验证密钥和关联密钥 ID : security key-manager restore -address *

      如果命令失败,请联系 NetApp 支持部门。

    1. 验证所有身份验证密钥的 Restored 列是否显示 yes ,以及所有密钥管理器是否显示 AvailablesSecurity key-manager query

    2. 关闭受损控制器。

  3. 如果在启用板载密钥管理后看到消息 this command is not supported when on板 载密钥管理器,请显示存储在板载密钥管理器中的密钥: security key-manager key show -detail

    1. 如果 Restored 列显示 yes manually back up the on板 载密钥管理信息:

      • 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      • Enter the command to display the OKM backup information: security key-manager backup show

      • 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      • 返回到管理模式: set -priv admin

      • 关闭受损控制器。

    2. 如果 Restored 列显示除 yes 以外的任何内容:

      • 运行 key-manager 设置向导: security key-manager setup -node target/impaired node name

        注 在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 "mysupport.netapp.com"
      • 验证所有身份验证密钥 ssecuritykey-manager key show -detailrestored 列是否显示 yes

      • 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      • Enter the command to display the OKM backup information: security key-manager backup show

      • 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      • 返回到管理模式: set -priv admin

      • 您可以安全地关闭控制器。

验证 NSE 配置

步骤
  1. 显示密钥管理服务器上存储的身份验证密钥的密钥 ID : security key-manager query

    • 如果 Restored 列显示 yes 且所有密钥管理器显示 Available ,则可以安全地关闭受损的控制器。

    • 如果 Restored 列显示 yes 以外的任何内容,或者任何密钥管理器显示 不可用 ,则需要完成一些额外步骤。

    • 如果在启用板载密钥管理时看到消息 this command is not supported ,则需要完成其他一些步骤

  2. 如果 restored 列显示 yes 以外的任何内容,或者任何密钥管理器显示 不可用

    1. 检索并还原所有身份验证密钥和关联密钥 ID : security key-manager restore -address *

      如果命令失败,请联系 NetApp 支持部门。

    1. 验证所有身份验证密钥的 Restored 列是否显示 yes ,以及所有密钥管理器是否显示 AvailablesSecurity key-manager query

    2. 关闭受损控制器。

  3. 如果在启用板载密钥管理后看到消息 this command is not supported when on板 载密钥管理器,请显示存储在板载密钥管理器中的密钥: security key-manager key show -detail

    1. 如果 Restored 列显示 yes ,请手动备份板载密钥管理信息:

      • 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      • Enter the command to display the OKM backup information: security key-manager backup show

      • 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      • 返回到管理模式: set -priv admin

      • 关闭受损控制器。

    2. 如果 Restored 列显示除 yes 以外的任何内容:

      • 运行 key-manager 设置向导: security key-manager setup -node target/impaired node name

        注 在提示符处输入客户的 OKM 密码短语。如果无法提供密码短语,请联系 "mysupport.netapp.com"
      • 验证所有身份验证密钥的 restored 列是否显示 yessecurity key-manager key show -detail

      • 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      • 输入命令以备份 OKM 信息: security key-manager backup show

        注 Make sure that OKM information is saved in your log file.在可能需要手动恢复 OKM 的灾难情形下,需要此信息。
      • 将备份信息的内容复制到单独的文件或日志中。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      • 返回到管理模式: set -priv admin

      • 您可以安全地关闭控制器。

选项 2 :在运行 ONTAP 9.6 及更高版本的系统上检查 NVE 或 NSE

在关闭受损控制器之前,您需要验证系统是否已启用 NetApp 卷加密( NVE )或 NetApp 存储加密( NSE )。If so, you need to verify the configuration.

  1. 验证集群中的任何卷是否正在使用 NVE : volume show -is-encrypted true

    If any volumes are listed in the output, NVE is configured and you need to verify the NVE configuration.如果未列出任何卷,请检查是否已配置 NSE 并正在使用此 NSE 。

  2. 验证是否已配置 NSE 并正在使用: storage encryption disk show

    • 如果命令输出列出了驱动器详细信息以及模式和密钥 ID 信息,则表示已配置 NSE ,您需要验证 NSE 配置和正在使用的。

    • 如果未显示任何磁盘,则表示未配置 NSE 。

    • 如果未配置 NVE 和 NSE ,则不会使用 NSE 密钥保护任何驱动器,因此可以安全地关闭受损的控制器。

验证 NVE 配置

  1. 显示密钥管理服务器上存储的身份验证密钥的密钥 ID : security key-manager key-query

注 在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIPAKVGCP 。确认这些类型的过程与确认 外部板载 密钥管理器类型相同。
  • 如果 密钥管理器 类型显示 external ,而 restored 列显示 yes ,则可以安全地关闭受损的控制器。

  • 如果 密钥管理器 类型显示 板载还原 列显示 ,则需要完成一些额外步骤。

  • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

  • 如果 密钥管理器 类型显示 板载还原 列显示除 以外的任何内容,则需要完成一些额外步骤。

    1. 如果 Key Manager type 显示 板载Restored 列显示 yes ,请手动备份 OKM 信息:

      1. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      2. 输入命令以显示密钥管理信息: security key-manager on板 载 show-backup

      3. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      4. 返回到管理模式: set -priv admin

      5. 关闭受损控制器。

    2. 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容:

      1. 将外部密钥管理身份验证密钥还原到集群中的所有节点: security key-manager external restore

        如果命令失败,请联系 NetApp 支持部门。

    1. 验证所有身份验证密钥的 restored 列是否等于 yessecurity key-manager key-query

    2. 关闭受损控制器。

      1. 如果 Key Manager type 显示 板载Restored 列显示除 yes 以外的任何内容:

    3. 输入板载 security key-manager sync 命令: ssecurity key-manager on板 载同步

      注 在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 NetApp 支持部门。 "mysupport.netapp.com"
    4. 验证所有身份验证密钥的 restored 列是否显示 yessecurity key-manager key-query

    5. 验证 Key Manager type 是否显示 板载 ,然后手动备份 OKM 信息。

    6. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    7. 输入命令以显示密钥管理备份信息: security key-manager on板 载 show-backup

    8. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    9. 返回到管理模式: set -priv admin

    10. 您可以安全地关闭控制器。

验证 NSE 配置

  1. 显示密钥管理服务器上存储的身份验证密钥的密钥 ID : security key-manager key-query -key-type NSE-AK

注 在 ONTAP 9.6 版之后,您可能还需要其他密钥管理器类型。类型为 KMIPAKVGCP 。确认这些类型的过程与确认 外部板载 密钥管理器类型相同。
  • 如果 密钥管理器 类型显示 external ,而 restored 列显示 yes ,则可以安全地关闭受损的控制器。

  • 如果 密钥管理器 类型显示 板载还原 列显示 ,则需要完成一些额外步骤。

  • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

  • 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容,则需要完成一些额外步骤。

    1. 如果 Key Manager type 显示 板载Restored 列显示 yes ,请手动备份 OKM 信息:

      1. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

      2. 输入命令以显示密钥管理信息: security key-manager on板 载 show-backup

      3. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

      4. 返回到管理模式: set -priv admin

      5. 您可以安全地关闭控制器。

    2. 如果 Key Manager type 显示 external ,而 restored 列显示除 yes 以外的任何内容:

      1. 输入板载 security key-manager sync 命令: ssecurity key-manager external sync

        如果命令失败,请联系 NetApp 支持部门。

      1. 验证所有身份验证密钥的 restored 列是否等于 yessecurity key-manager key-query

      2. 您可以安全地关闭控制器。

    3. 如果 Key Manager type 显示 板载Restored 列显示除 yes 以外的任何内容:

      1. 输入板载 security key-manager sync 命令: ssecurity key-manager on板 载同步

        在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 NetApp 支持部门。

    1. 验证所有身份验证密钥的 restored 列是否显示 yessecurity key-manager key-query

    2. 验证 Key Manager type 是否显示 板载 ,然后手动备份 OKM 信息。

    3. 转到高级权限模式,并在系统提示您继续时输入 yset -priv advanced

    4. 输入命令以显示密钥管理备份信息: security key-manager on板 载 show-backup

    5. 将备份信息的内容复制到单独的文件或日志文件。在可能需要手动恢复 OKM 的灾难情形下,您将需要它。

    6. 返回到管理模式: set -priv admin

    7. 您可以安全地关闭控制器。