Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

对现有卷启用加密

贡献者
PDF

您可以使用 volume move startvolume encryption conversion start 命令以对现有卷启用加密。

关于此任务

  • 从ONTAP 9.3开始、您可以使用 volume encryption conversion start 命令以"原位"加密现有卷、而无需将卷移动到其他位置。或者、您也可以使用 volume move start 命令:

  • 对于ONTAP 9.2及更早版本、只能使用 volume move start 命令以通过移动现有卷启用加密。

使用 volume encryption conversion start 命令在现有卷上启用加密

从ONTAP 9.3开始、您可以使用 volume encryption conversion start 命令以"原位"加密现有卷、而无需将卷移动到其他位置。

启动转换操作后、必须完成该操作。如果您在操作期间遇到性能问题描述、则可以运行 volume encryption conversion pause 命令以暂停操作、以及 volume encryption conversion resume 命令以恢复操作。

备注 您不能使用 volume encryption conversion start 转换SnapLock卷。
步骤

  1. 在现有卷上启用加密:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    有关整个命令语法、请参见命令的手册页。

    以下命令将对现有卷启用加密 vol1

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    系统会为卷创建加密密钥。卷上的数据已加密。

  2. 验证转换操作的状态:

    volume encryption conversion show

    有关整个命令语法、请参见命令的手册页。

    以下命令显示转换操作的状态:

    cluster1::> volume encryption conversion show

Vserver   Volume   Start Time           Status
-------   ------   ------------------   ---------------------------
vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.

  3. 转换操作完成后、验证卷是否已启用加密:

    volume show -is-encrypted true

    有关整个命令语法、请参见命令的手册页。

    以下命令将显示上的加密卷 cluster1

    cluster1::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
结果

如果您使用 KMIP 服务器存储节点的加密密钥,则在对卷进行加密时, ONTAP 会自动 "`推送` " 加密密钥到服务器。

使用 volume move start 命令在现有卷上启用加密

您可以使用 volume move start 命令以通过移动现有卷启用加密。您必须使用 volume move start 在ONTAP 9.2及更早版本中。您可以使用同一个聚合或不同的聚合。

关于此任务

  • 从ONTAP 9.8开始、您可以使用 volume move start 在SnapLock或FlexGroup卷上启用加密。

  • 从ONTAP 9.4开始、如果在设置板载密钥管理器时启用"`cc-mode`"、则会显示使用创建的卷 volume move start 命令会自动加密。您无需指定 -encrypt-destination true

  • 从 ONTAP 9.6 开始,您可以使用聚合级别的加密为要移动的卷所在的聚合分配密钥。使用唯一密钥加密的卷称为_NVE卷_(表示它使用NetApp卷加密)。使用聚合级别密钥加密的卷称为 NAE volume (适用于 NetApp 聚合加密)。NAE 聚合不支持纯文本卷。

  • 从ONTAP 9.14.1开始、您可以使用NVE对SVM根卷进行加密。有关详细信息,请参见 在SVM根卷上配置NetApp卷加密

开始之前

要执行此任务,您必须是集群管理员,或者集群管理员已向其委派权限的 SVM 管理员。

"委派权限以运行 volume move 命令"

步骤

  1. 移动现有卷并指定是否在卷上启用加密:

    要转换 …​

    使用此命令 …​

    纯文本卷到 NVE 卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    将 NVE 或纯文本卷连接到 NAE 卷(假设目标上启用了聚合级别加密)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    NAE 卷到 NVE 卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    NAE 卷到纯文本卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    NVE卷转换为纯文本卷

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    有关整个命令语法、请参见命令的手册页。

    以下命令将转换名为的纯文本卷 vol1 到NVE卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    假设在目标上启用了聚合级加密、则以下命令将转换名为的NVE或纯文本卷 vol1 到NAE卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    以下命令将转换名为的NAE卷 vol2 到NVE卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    以下命令将转换名为的NAE卷 vol2 纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    以下命令将转换名为的NVE卷 vol2 纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false

  2. 查看集群卷的加密类型:

    volume show -fields encryption-type none|volume|aggregate

    encryption-type 字段在ONTAP 9.6及更高版本中可用。

    有关整个命令语法、请参见命令的手册页。

    以下命令显示中卷的加密类型 cluster2

    cluster2::> volume show -fields encryption-type

vserver  volume  encryption-type
-------  ------  ---------------
vs1      vol1    none
vs2      vol2    volume
vs3      vol3    aggregate

  3. 验证是否已为卷启用加密:

    volume show -is-encrypted true

    有关整个命令语法、请参见命令的手册页。

    以下命令将显示上的加密卷 cluster2

    cluster2::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
结果

如果您使用KMIP服务器存储节点的加密密钥、则在对卷进行加密时、ONTAP会自动将加密密钥推送到服务器。