Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在现有ONTAP卷上启用 NAE 或 NVE

贡献者 netapp-ahibbard netapp-thomi netapp-barbe netapp-aherbin netapp-bhouser netapp-aaron-holt jmcmx netapp-lenida

您可以使用 volume move startvolume encryption conversion start 命令以对现有卷启用加密。

关于此任务

您可以使用 `volume encryption conversion start`命令可以“就地”启用现有卷的加密,而无需将卷移动到其他位置。或者,您可以使用 `volume move start`命令。

使用 volume encryption conversion start 命令在现有卷上启用加密

您可以使用 `volume encryption conversion start`命令来启用现有卷的“就地”加密,而无需将卷移动到其他位置。

启动转换操作后、必须完成该操作。如果您在操作期间遇到性能问题描述、则可以运行 volume encryption conversion pause 命令以暂停操作、以及 volume encryption conversion resume 命令以恢复操作。

备注 您不能使用 volume encryption conversion start 转换SnapLock卷。
步骤
  1. 在现有卷上启用加密:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    有关的详细信息 volume encryption conversion start,请参见"ONTAP 命令参考"

    以下命令将对现有卷启用加密 vol1

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    系统会为卷创建加密密钥。卷上的数据已加密。

  2. 验证转换操作的状态:

    volume encryption conversion show

    有关的详细信息 volume encryption conversion show,请参见"ONTAP 命令参考"

    以下命令显示转换操作的状态:

    cluster1::> volume encryption conversion show
    
    Vserver   Volume   Start Time           Status
    -------   ------   ------------------   ---------------------------
    vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.
  3. 转换操作完成后、验证卷是否已启用加密:

    volume show -is-encrypted true

    有关的详细信息 volume show,请参见"ONTAP 命令参考"

    以下命令将显示上的加密卷 cluster1

    cluster1::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
结果

如果您使用 KMIP 服务器存储节点的加密密钥,则在对卷进行加密时, ONTAP 会自动 "`推送` " 加密密钥到服务器。

使用 volume move start 命令在现有卷上启用加密

您可以使用 `volume move start`命令通过移动现有卷来启用加密。您可以使用同一个聚合或不同的聚合。

关于此任务
  • 从ONTAP 9.8开始、您可以使用 volume move start 在SnapLock或FlexGroup卷上启用加密。

  • 从ONTAP 9.4开始、如果在设置板载密钥管理器时启用"`cc-mode`"、则会显示使用创建的卷 volume move start 命令会自动加密。您无需指定 -encrypt-destination true

  • 从 ONTAP 9.6 开始,您可以使用聚合级别的加密为要移动的卷所在的聚合分配密钥。使用唯一密钥加密的卷称为_NVE卷_(表示它使用NetApp卷加密)。使用聚合级别密钥加密的卷称为 NAE volume (适用于 NetApp 聚合加密)。NAE 聚合不支持纯文本卷。

  • 从ONTAP 9.14.1开始、您可以使用NVE对SVM根卷进行加密。有关详细信息,请参见 在SVM根卷上配置NetApp卷加密

开始之前

要执行此任务,您必须是集群管理员,或者集群管理员已向其委派权限的 SVM 管理员。

步骤
  1. 移动现有卷并指定是否在卷上启用加密:

    要转换 …​

    使用此命令 …​

    纯文本卷到 NVE 卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    将 NVE 或纯文本卷连接到 NAE 卷(假设目标上启用了聚合级别加密)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    NAE 卷到 NVE 卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    NAE 卷到纯文本卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    NVE卷转换为纯文本卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    有关的详细信息 volume move start,请参见"ONTAP 命令参考"

    以下命令将转换名为的纯文本卷 vol1 到NVE卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    假设在目标上启用了聚合级加密、则以下命令将转换名为的NVE或纯文本卷 vol1 到NAE卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    以下命令将转换名为的NAE卷 vol2 到NVE卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    以下命令将转换名为的NAE卷 vol2 纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    以下命令将转换名为的NVE卷 vol2 纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
  2. 查看集群卷的加密类型:

    volume show -fields encryption-type none|volume|aggregate

    encryption-type 字段在ONTAP 9.6及更高版本中可用。

    有关的详细信息 volume show,请参见"ONTAP 命令参考"

    以下命令显示中卷的加密类型 cluster2

    cluster2::> volume show -fields encryption-type
    
    vserver  volume  encryption-type
    -------  ------  ---------------
    vs1      vol1    none
    vs2      vol2    volume
    vs3      vol3    aggregate
  3. 验证是否已为卷启用加密:

    volume show -is-encrypted true

    有关的详细信息 volume show,请参见"ONTAP 命令参考"

    以下命令将显示上的加密卷 cluster2

    cluster2::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
结果

如果您使用KMIP服务器存储节点的加密密钥、则在对卷进行加密时、ONTAP会自动将加密密钥推送到服务器。