对现有卷启用加密
建议更改
PDF
您可以使用 volume move start 或 volume encryption conversion start 命令以对现有卷启用加密。
-
从ONTAP 9.3开始、您可以使用
volume encryption conversion start命令以"原位"加密现有卷、而无需将卷移动到其他位置。或者、您也可以使用volume move start命令: -
对于ONTAP 9.2及更早版本、只能使用
volume move start命令以通过移动现有卷启用加密。
使用 volume encryption conversion start 命令在现有卷上启用加密
从ONTAP 9.3开始、您可以使用 volume encryption conversion start 命令以"原位"加密现有卷、而无需将卷移动到其他位置。
启动转换操作后、必须完成该操作。如果您在操作期间遇到性能问题描述、则可以运行 volume encryption conversion pause 命令以暂停操作、以及 volume encryption conversion resume 命令以恢复操作。
|
您不能使用 volume encryption conversion start 转换SnapLock卷。
|
-
在现有卷上启用加密:
volume encryption conversion start -vserver SVM_name -volume volume_name有关整个命令语法、请参见命令的手册页。
以下命令将对现有卷启用加密
vol1:cluster1::> volume encryption conversion start -vserver vs1 -volume vol1
系统会为卷创建加密密钥。卷上的数据已加密。
-
验证转换操作的状态:
volume encryption conversion show有关整个命令语法、请参见命令的手册页。
以下命令显示转换操作的状态:
cluster1::> volume encryption conversion show Vserver Volume Start Time Status ------- ------ ------------------ --------------------------- vs1 vol1 9/18/2017 17:51:41 Phase 2 of 2 is in progress.
-
转换操作完成后、验证卷是否已启用加密:
volume show -is-encrypted true有关整个命令语法、请参见命令的手册页。
以下命令将显示上的加密卷
cluster1:cluster1::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
如果您使用 KMIP 服务器存储节点的加密密钥,则在对卷进行加密时, ONTAP 会自动 "`推送` " 加密密钥到服务器。
使用 volume move start 命令在现有卷上启用加密
您可以使用 volume move start 命令以通过移动现有卷启用加密。您必须使用 volume move start 在ONTAP 9.2及更早版本中。您可以使用同一个聚合或不同的聚合。
-
从ONTAP 9.8开始、您可以使用
volume move start在SnapLock或FlexGroup卷上启用加密。 -
从ONTAP 9.4开始、如果在设置板载密钥管理器时启用"`cc-mode`"、则会显示使用创建的卷
volume move start命令会自动加密。您无需指定-encrypt-destination true。 -
从 ONTAP 9.6 开始,您可以使用聚合级别的加密为要移动的卷所在的聚合分配密钥。使用唯一密钥加密的卷称为_NVE卷_(表示它使用NetApp卷加密)。使用聚合级别密钥加密的卷称为 NAE volume (适用于 NetApp 聚合加密)。NAE 聚合不支持纯文本卷。
-
从ONTAP 9.14.1开始、您可以使用NVE对SVM根卷进行加密。有关详细信息,请参见 在SVM根卷上配置NetApp卷加密。
要执行此任务,您必须是集群管理员,或者集群管理员已向其委派权限的 SVM 管理员。
-
移动现有卷并指定是否在卷上启用加密:
要转换 …
使用此命令 …
纯文本卷到 NVE 卷
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true将 NVE 或纯文本卷连接到 NAE 卷(假设目标上启用了聚合级别加密)
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key trueNAE 卷到 NVE 卷
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key falseNAE 卷到纯文本卷
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key falseNVE卷转换为纯文本卷
volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false有关整个命令语法、请参见命令的手册页。
以下命令将转换名为的纯文本卷
vol1到NVE卷:cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true
假设在目标上启用了聚合级加密、则以下命令将转换名为的NVE或纯文本卷
vol1到NAE卷:cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true
以下命令将转换名为的NAE卷
vol2到NVE卷:cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false
以下命令将转换名为的NAE卷
vol2纯文本卷:cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false
以下命令将转换名为的NVE卷
vol2纯文本卷:cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
-
查看集群卷的加密类型:
volume show -fields encryption-type none|volume|aggregate。
encryption-type字段在ONTAP 9.6及更高版本中可用。有关整个命令语法、请参见命令的手册页。
以下命令显示中卷的加密类型
cluster2:cluster2::> volume show -fields encryption-type vserver volume encryption-type ------- ------ --------------- vs1 vol1 none vs2 vol2 volume vs3 vol3 aggregate
-
验证是否已为卷启用加密:
volume show -is-encrypted true有关整个命令语法、请参见命令的手册页。
以下命令将显示上的加密卷
cluster2:cluster2::> volume show -is-encrypted true Vserver Volume Aggregate State Type Size Available Used ------- ------ --------- ----- ---- ----- --------- ---- vs1 vol1 aggr2 online RW 200GB 160.0GB 20%
如果您使用KMIP服务器存储节点的加密密钥、则在对卷进行加密时、ONTAP会自动将加密密钥推送到服务器。