在ONTAP 9.6 及更高版本中为 NVE 启用外部密钥管理
建议更改
PDF
使用 KMIP 服务器来保护集群用于访问加密数据的密钥。从ONTAP 9.6 开始,您可以选择配置单独的外部密钥管理器来保护数据 SVM 用于访问加密数据的密钥。
从ONTAP 9.11.1开始、您可以为每个主密钥服务器最多添加3个二级密钥服务器、以创建集群模式密钥服务器。有关详细信息,请参见 配置集群模式外部密钥服务器。
您最多可以将四个 KMIP 服务器连接到集群或 SVM。使用至少两台服务器以实现冗余和灾难恢复。
外部密钥管理的范围决定了密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定 SVM :
-
您可以使用 cluster scopter 为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。
-
从 ONTAP 9.6 开始,您可以使用 SVM scopter 为集群中的数据 SVM 配置外部密钥管理。这最适合多租户环境,其中每个租户都使用不同的 SVM (或一组 SVM )来提供数据。只有给定租户的 SVM 管理员才能访问该租户的密钥。
-
对于多租户环境,请使用以下命令为 MT_EK_MGMT 安装许可证:
system license add -license-code <MT_EK_MGMT license code>有关的详细信息
system license add,请参见"ONTAP 命令参考"。
您可以在同一集群中使用这两个范围。如果为 SVM 配置了密钥管理服务器,则 ONTAP 仅使用这些服务器来保护密钥。否则, ONTAP 将使用为集群配置的密钥管理服务器来保护密钥。
您可以在集群范围配置板载密钥管理,并在 SVM 范围配置外部密钥管理。您可以使用 security key-manager key migrate 命令将密钥从集群范围的板载密钥管理迁移到SVM范围的外部密钥管理器。
有关的详细信息 security key-manager key migrate,请参见"ONTAP 命令参考"。
-
必须已安装 KMIP SSL 客户端和服务器证书。
-
要执行此任务,您必须是集群或 SVM 管理员。
-
在MetroCluster环境中:
-
在启用外部密钥管理之前,必须完全配置MetroCluster 。
-
您必须在两个集群上安装相同的 KMIP SSL 证书。
-
必须在两个集群上配置外部密钥管理器。
-
-
配置集群的密钥管理器连接:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
这 `security key-manager external enable`命令替换 `security key-manager setup`命令。如果在群集登录提示符下运行该命令, `admin_SVM`默认为当前集群的管理 SVM。您可以运行 `security key-manager external modify`命令来更改外部密钥管理配置。 以下命令将为启用外部密钥管理
cluster1使用三个外部密钥服务器。第一个密钥服务器使用其主机名和端口指定,第二个密钥服务器使用 IP 地址和默认端口指定,第三个密钥服务器使用 IPv6 地址和端口指定:clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
配置密钥管理器 SVM :
security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
如果在 SVM 登录提示符下运行该命令, `SVM`默认为当前 SVM。您可以运行 `security key-manager external modify`命令来更改外部密钥管理配置。
-
在MetroCluster 环境中、如果要为数据SVM配置外部密钥管理、则不必重复
security key-manager external enable命令。
以下命令将为启用外部密钥管理
svm1使用单密钥服务器侦听默认端口5696:svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
-
-
对任何其他 SVM 重复最后一步。
您也可以使用
security key-manager external add-servers`命令配置其他SVM。 `security key-manager external add-servers`命令将取代 `security key-manager add`命令。有关的详细信息 `security key-manager external add-servers,请参见"ONTAP 命令参考"。 -
验证所有已配置的 KMIP 服务器是否均已连接:
security key-manager external show-status -node node_name
`security key-manager external show-status`命令将取代 `security key-manager show -status`命令。有关的详细信息 `security key-manager external show-status`,请参见link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["ONTAP 命令参考"^]。
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 8 entries were displayed. -
(可选)将纯文本卷转换为加密卷。
volume encryption conversion start在转换卷之前,必须完全配置外部密钥管理器。