简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 9.6 及更高版本(基于硬件)中启用外部密钥管理

提供者 netapp-thomi

您可以使用一个或多个 KMIP 服务器来保护集群用于访问加密数据的密钥。最多可以将四个 KMIP 服务器连接到一个节点。建议至少使用两台服务器来实现冗余和灾难恢复。

您需要什么? #8217 ;将需要什么
  • 必须已安装 KMIP SSL 客户端和服务器证书。

  • 您必须是集群管理员才能执行此任务。

  • 在配置外部密钥管理器之前,您必须配置 MetroCluster 环境。

步骤
  1. 配置集群的密钥管理器连接:

    ` security key-manager external enable -vserver admin_svm -key-servers host_name_ip_address : port , ... -client-cert client_certificate -server-ca-cert server_CA_certificates`

    注

    使用 security key-manager external enable 命令可替代 security key-manager setup 命令。您可以运行 security key-manager external modify 命令来更改外部密钥管理配置。有关完整的命令语法,请参见手册页。

    以下命令可通过三个外部密钥服务器为 cluster1 启用外部密钥管理。第一个密钥服务器使用其主机名和端口指定,第二个密钥服务器使用 IP 地址和默认端口指定,第三个密钥服务器使用 IPv6 地址和端口指定:

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. 验证所有已配置的 KMIP 服务器是否均已连接:

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name_ip_address : port -key-server-status available_not-Responding_unknown

    注

    使用 security key-manager external show-status 命令可替换 security key-manager show -status 命令。有关完整的命令语法,请参见手册页。

    cluster1::> security key-manager external show-status
    
    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    
    6 entries were displayed.