简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
在 ONTAP 9.5 及更早版本中启用外部密钥管理
贡献者
建议更改
PDF
您可以使用一个或多个 KMIP 服务器来保护集群用于访问加密数据的密钥。最多可以将四个 KMIP 服务器连接到一个节点。建议至少使用两台服务器来实现冗余和灾难恢复。
关于此任务
ONTAP 为集群中的所有节点配置 KMIP 服务器连接。
开始之前
-
必须已安装 KMIP SSL 客户端和服务器证书。
-
您必须是集群管理员才能执行此任务。
-
在配置外部密钥管理器之前,您必须配置 MetroCluster 环境。
-
在MetroCluster环境中、您必须在两个集群上安装相同的KMIP SSL证书。
步骤
-
为集群节点配置密钥管理器连接:
security key-manager setup此时将启动密钥管理器设置。
在MetroCluster 环境中、必须在两个集群上运行此命令。 -
在每个提示符处输入相应的响应。
-
添加 KMIP 服务器:
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.1
在MetroCluster 环境中、必须在两个集群上运行此命令。 -
添加额外的 KMIP 服务器以实现冗余:
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.2
在MetroCluster 环境中、必须在两个集群上运行此命令。 -
验证所有已配置的 KMIP 服务器是否均已连接:
security key-manager show -status有关完整的命令语法,请参见手册页。
cluster1::> security key-manager show -status Node Port Registered Key Manager Status -------------- ---- ---------------------- --------------- cluster1-01 5696 20.1.1.1 available cluster1-01 5696 20.1.1.2 available cluster1-02 5696 20.1.1.1 available cluster1-02 5696 20.1.1.2 available
-
(可选)将纯文本卷转换为加密卷。
volume encryption conversion start转换卷之前、必须完全配置外部密钥管理器。在MetroCluster环境中、必须同时在两个站点上配置外部密钥管理器。