Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

OKM、NSE和NVE的启动后介质更换步骤—FAS9500

贡献者

检查环境变量后,您必须完成特定于还原板载密钥管理器( OKM ), NetApp 存储加密( NSE )和 NetApp 卷加密( NVE )的步骤。

  1. 确定应使用哪个部分还原 OKM , NSE 或 NVE 配置:如果已启用 NSE 或 NVE 以及板载密钥管理器,则必须还原在此操作步骤开头捕获的设置。

启用板载密钥管理器后还原 NVE 或 NSE

  1. Connect the console cable to the target node.

  2. Use the boot_ontap command at the LOADER prompt to boot the node.

  3. 检查控制台输出:

    如果控制台显示 …​ 那么 …​

    LOADER 提示符

    将节点启动至启动菜单: boot_ontap menu

    正在等待交还

    1. 在提示符处输入 Ctrl-C

    2. 出现消息: Do you donde halt this node rather than wait [y/n] ?,输入: y

    3. 在 LOADER 提示符处,输入 boot_ontap menu 命令。

  4. 在启动菜单中,输入隐藏的命令 re封装板载密钥管理器 ,然后在提示符处回答 y

  5. 输入您在此操作步骤开头从客户处获取的板载密钥管理器的密码短语。

  6. 当系统提示您输入备份数据时,请根据要求粘贴您在本节开头捕获的备份数据。粘贴 security key-manager backup showsecurity key-manager on板 载 show-backup 命令的输出。

    备注 数据是从 ssecurity key-manager backup show 或 security key-manager on板 载 show-backup` 命令输出的。

    备份数据示例:

    输入备份数据:

    --------------- 开始备份——————— QABWIETLESBCbG9iAAAAAAAAAAAAAAAAAAEAAAACADID+bAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABvOlH0AAAMH7qDLIWAH1DBZ12piVOT9ATSFMT0C0TlYAFASS4ADAAAAAAQAAAAAAAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAAAQAQAAAQAA。。。H4nPQM0nrDRYRA9Scv8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAA

    --------------- 结束备份———————

  7. 在启动菜单中,选择正常启动选项。

    系统将启动并显示 Waiting for giveback…​ 提示符。

  8. 将控制台缆线移动到配对节点并以管理员身份登录。

  9. 使用 storage failover show 命令确认目标节点已准备好进行交还。

  10. 使用 storage failover giveback -fromnode local -only-cfo-aggregates true 命令仅交还 CFO 聚合。

    • 如果命令因磁盘发生故障而失败,请物理断开故障磁盘,但将磁盘保留在插槽中,直到收到更换磁盘为止。

    • 如果命令因 CIFS 会话打开而失败,请与客户确认如何关闭 CIFS 会话。

      备注 终止 CIFS 可能会导致数据发生原因丢失。
    • 如果命令因配对节点 " 未就绪 " 而失败,请等待 5 分钟,使 NVRAM 同步。

    • If the command fails because of an NDMP, SnapMirror, or SnapVault process, disable the process.有关详细信息,请参见相应的内容。

  11. 交还完成后,使用 storage failover show 和 storage failover show-giveback 命令检查故障转移和交还状态。

    仅显示 CFO 聚合(根聚合和 CFO 模式的数据聚合)。

  12. 如果您运行的是 ONTAP 9.6 或更高版本,请运行 security key-manager 板载同步:

    1. 运行 security key-manager on板 载 sync 命令,然后在出现提示时输入密码短语。

    2. 输入 security key-manager key-query 命令可查看板载密钥管理器中存储的所有密钥的详细视图,并验证所有身份验证密钥的 restored column = yes/true

      备注 如果 Restored 列 = yes/true 以外的任何内容,请联系客户支持。
    3. 等待 10 分钟,使密钥在整个集群中同步。

  13. Move the console cable to the partner node.

  14. Give back the target node using the storage failover giveback -fromnode local command.

  15. 使用 storage failover show 命令在交还报告完成三分钟后检查交还状态。

    如果 20 分钟后交还未完成,请联系客户支持。

  16. At the clustershell prompt, enter the net int show -is-home false command to list the logical interfaces that are not on their home node and port.

    如果任何接口列为 false ,请使用 net int revert 命令将这些接口还原回其主端口。

  17. Move the console cable to the target node and run the version -v command to check the ONTAP versions.

  18. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。

在运行 ONTAP 9.6 及更高版本的系统上还原 NSE/NVE

  1. Connect the console cable to the target node.

  2. Use the boot_ontap command at the LOADER prompt to boot the node.

  3. 检查控制台输出:

    如果控制台显示 …​ 那么 …​

    登录提示符

    转至第 7 步。

    正在等待交还

    1. 登录到配对节点。

    2. 使用 storage failover show 命令确认目标节点已准备好进行交还。

  4. Move the console cable to the partner node and give back the target node storage using the storage failover giveback -fromnode local -only-cfo-aggregates true local command.

    • 如果命令因磁盘发生故障而失败,请物理断开故障磁盘,但将磁盘保留在插槽中,直到收到更换磁盘为止。

    • 如果命令因 CIFS 会话打开而失败,请与客户联系,了解如何关闭 CIFS 会话。

      备注 终止 CIFS 可能会导致数据发生原因丢失。
    • 如果命令因配对节点 " 未就绪 " 而失败,请等待 5 分钟,使 NVMEM 同步。

    • If the command fails because of an NDMP, SnapMirror, or SnapVault process, disable the process.有关详细信息,请参见相应的内容。

  5. 请等待 3 分钟,然后使用 storage failover show 命令检查故障转移状态。

  6. At the clustershell prompt, enter the net int show -is-home false command to list the logical interfaces that are not on their home node and port.

    如果任何接口列为 false ,请使用 net int revert 命令将这些接口还原回其主端口。

  7. Move the console cable to the target node and run the version -v command to check the ONTAP versions.

  8. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。

  9. 在 clustershell 提示符处使用 storage encryption disk show 查看输出。

  10. 使用 security key-manager key-query 命令显示存储在密钥管理服务器上的加密和身份验证密钥。

    • 如果 restored column = yes/true ,则表示您已完成更换过程,并可继续完成更换过程。

    • 如果 Key Manager type = external and the restored column = anything other than yes/true ,请使用 security key-manager external restore 命令还原身份验证密钥的密钥 ID 。

      备注 如果命令失败,请联系客户支持。
    • 如果 密钥管理器类型 = 板载还原 列 = 除 yes/true 以外的任何其他内容,请使用 security key-manager on板 载同步 命令重新同步密钥管理器类型。

      使用 security key-manager key-query 命令验证所有身份验证密钥的 restored column = yes/true

  11. 将控制台缆线连接到配对节点。

  12. 使用 storage failover giveback -fromnode local 命令交还节点。

  13. 使用 storage failover modify -node local -auto-giveback true 命令禁用自动交还后,可将其还原。