在 ONTAP 9.6 及更高版本(基于硬件)中启用外部密钥管理
建议更改
PDF
您可以使用一个或多个 KMIP 服务器来保护集群用于访问加密数据的密钥。最多可以将四个 KMIP 服务器连接到一个节点。建议至少使用两台服务器来实现冗余和灾难恢复。
从ONTAP 9.11.1开始、您可以为每个主密钥服务器最多添加3个二级密钥服务器、以创建集群模式密钥服务器。有关详细信息,请参见 配置集群模式外部密钥服务器。
-
必须已安装 KMIP SSL 客户端和服务器证书。
-
您必须是集群管理员才能执行此任务。
-
在配置外部密钥管理器之前,您必须配置 MetroCluster 环境。
-
在MetroCluster环境中、您必须在两个集群上安装相同的KMIP SSL证书。
-
配置集群的密钥管理器连接:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
-
。
security key-manager external enable命令用于替换security key-manager setup命令:您可以运行security key-manager external modify用于更改外部密钥管理配置的命令。有关完整的命令语法,请参见手册页。 -
在MetroCluster 环境中、如果要为管理SVM配置外部密钥管理、则必须重复
security key-manager external enable命令。
以下命令将为启用外部密钥管理
cluster1使用三个外部密钥服务器。第一个密钥服务器使用其主机名和端口指定,第二个密钥服务器使用 IP 地址和默认端口指定,第三个密钥服务器使用 IPv6 地址和端口指定:clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
验证所有已配置的 KMIP 服务器是否均已连接:
security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown
。
security key-manager external show-status命令用于替换security key-manager show -status命令:有关完整的命令语法,请参见手册页。cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 6 entries were displayed.