Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 9.6 及更高版本( NVE )中启用外部密钥管理

贡献者

您可以使用一个或多个 KMIP 服务器来保护集群用于访问加密数据的密钥。从ONTAP 9.6开始、您可以选择配置一个单独的外部密钥管理器、以保护数据SVM用于访问加密数据的密钥。

从ONTAP 9.11.1开始、您可以为每个主密钥服务器最多添加3个二级密钥服务器、以创建集群模式密钥服务器。有关详细信息,请参见 配置集群模式外部密钥服务器

关于此任务

您最多可以将四个 KMIP 服务器连接到一个集群或 SVM 。建议至少使用两台服务器来实现冗余和灾难恢复。

外部密钥管理的范围决定了密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定 SVM :

  • 您可以使用 cluster scopter 为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。

  • 从 ONTAP 9.6 开始,您可以使用 SVM scopter 为集群中的数据 SVM 配置外部密钥管理。这最适合多租户环境,其中每个租户都使用不同的 SVM (或一组 SVM )来提供数据。只有给定租户的 SVM 管理员才能访问该租户的密钥。

  • 对于多租户环境,请使用以下命令为 MT_EK_MGMT 安装许可证:

    system license add -license-code <MT_EK_MGMT license code>

    有关完整的命令语法,请参见命令手册页。

您可以在同一集群中使用这两个范围。如果为 SVM 配置了密钥管理服务器,则 ONTAP 仅使用这些服务器来保护密钥。否则, ONTAP 将使用为集群配置的密钥管理服务器来保护密钥。

您可以在集群范围配置板载密钥管理,并在 SVM 范围配置外部密钥管理。您可以使用 security key-manager key migrate 命令将密钥从集群范围的板载密钥管理迁移到SVM范围的外部密钥管理器。

开始之前
  • 必须已安装 KMIP SSL 客户端和服务器证书。

  • 要执行此任务,您必须是集群或 SVM 管理员。

  • 如果要为 MetroCluster 环境启用外部密钥管理,则必须在启用外部密钥管理之前完全配置 MetroCluster 。

  • 在MetroCluster环境中、您必须在两个集群上安装相同的KMIP SSL证书。

步骤
  1. 配置集群的密钥管理器连接:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    备注
    • security key-manager external enable 命令用于替换 security key-manager setup 命令:如果在集群登录提示符处运行命令、 admin_SVM 默认为当前集群的管理SVM。 您必须是集群管理员才能配置集群范围。您可以运行 security key-manager external modify 用于更改外部密钥管理配置的命令。

    • 在MetroCluster 环境中、如果要为管理SVM配置外部密钥管理、则必须重复 security key-manager external enable 命令。

    以下命令将为启用外部密钥管理 cluster1 使用三个外部密钥服务器。第一个密钥服务器使用其主机名和端口指定,第二个密钥服务器使用 IP 地址和默认端口指定,第三个密钥服务器使用 IPv6 地址和端口指定:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. 配置密钥管理器 SVM :

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    备注
    • 如果在SVM登录提示符处运行命令、 SVM 默认为当前SVM。 您必须是集群或 SVM 管理员才能配置 SVM 范围。您可以运行 security key-manager external modify 用于更改外部密钥管理配置的命令。

    • 在MetroCluster 环境中、如果要为数据SVM配置外部密钥管理、则不必重复 security key-manager external enable 命令。

    以下命令将为启用外部密钥管理 svm1 使用单密钥服务器侦听默认端口5696:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
  3. 对任何其他 SVM 重复最后一步。

    备注

    您也可以使用 security key-manager external add-servers 命令以配置其他SVM。。 security key-manager external add-servers 命令用于替换 security key-manager add 命令:有关完整的命令语法,请参见手册页。

  4. 验证所有已配置的 KMIP 服务器是否均已连接:

    security key-manager external show-status -node node_name

    备注

    security key-manager external show-status 命令用于替换 security key-manager show -status 命令:有关完整的命令语法,请参见手册页。

    cluster1::> security key-manager external show-status
    
    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    
    8 entries were displayed.
  5. (可选)将纯文本卷转换为加密卷。

    volume encryption conversion start

    转换卷之前、必须完全配置外部密钥管理器。在MetroCluster环境中、必须同时在两个站点上配置外部密钥管理器。