在新卷上启用加密
建议更改
PDF
您可以使用 volume create 命令以对新卷启用加密。
您可以使用NetApp卷加密(NVE)对卷进行加密、从ONTAP 9.6开始、还可以使用NetApp聚合加密(NAE)对卷进行加密。要了解有关NAE和NVE的更多信息、请参见 卷加密概述。
在ONTAP 中为新卷启用加密的操作步骤 会根据您使用的ONTAP 版本和特定配置而有所不同:
-
从ONTAP 9.4开始、如果您启用了
cc-mode设置板载密钥管理器时、您使用创建的卷volume create无论是否指定、命令都会自动加密-encrypt true。 -
在ONTAP 9.6及更早版本中、您必须使用
-encrypt true使用volume create用于启用加密的命令(前提是您未启用cc-mode)。 -
如果要在ONTAP 9.6中创建NAE卷、则必须在聚合级别启用NAE。请参见 使用VE许可证启用聚合级别加密 了解有关此任务的更多详细信息。
-
从ONTAP 9.7开始,如果您有"VE许可证"和板载或外部密钥管理,则新创建的卷将默认加密。默认情况下、在NAE聚合中创建的新卷的类型为NAE、而不是NVE。
-
在ONTAP 9.7及更高版本中、如果您添加了
-encrypt true到volume create命令要在NAE聚合中创建卷、此卷将采用NVE加密、而不是NAE加密。NAE聚合中的所有卷都必须使用NVE或NAE进行加密。
-
|
NAE 聚合不支持纯文本卷。 |
-
创建新卷并指定是否在卷上启用加密。如果新卷位于NAE聚合中、则默认情况下、此卷将为NAE卷:
要创建 …
使用此命令 …
NAE卷
volume create -vserver SVM_name -volume volume_name -aggregate aggregate_nameNVE卷
volume create -vserver SVM_name -volume volume_name -aggregate aggregate_name -encrypt true
在不支持NAE的ONTAP 9.6及更早版本中、 -encrypt true指定应使用NVE对卷进行加密。在ONTAP 9.7及更高版本中、如果在NAE聚合中创建卷、-encrypt true覆盖默认的NAE加密类型以创建NVE卷。纯文本卷
volume create -vserver SVM_name -volume volume_name -aggregate aggregate_name -encrypt false有关完整的命令语法、请参见命令参考页面上的链接:https://docs.netapp.com/us-en/ontap-cli/volume-create.html[
volume create^。 -
验证是否已为卷启用加密:
volume show -is-encrypted true有关完整的命令语法,请参见 "ONTAP 命令参考"。
如果使用KMIP服务器存储节点的加密密钥、则在对卷进行加密时、ONTAP 会自动将加密密钥"推送"到服务器。