Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启动过程中无法访问密钥管理服务器时会发生什么情况

贡献者

如果为 NSE 配置的存储系统在启动过程中无法访问任何指定的密钥管理服务器,则 ONTAP 会采取某些预防措施来避免发生意外行为。

如果存储系统配置了 NSE , SED 已重新设置密钥并锁定,并且 SED 已启动,则存储系统必须从密钥管理服务器检索所需的身份验证密钥,以便向 SED 进行身份验证,然后才能访问数据。

存储系统会尝试联系指定的密钥管理服务器,最长三小时。如果存储系统在该时间后无法访问其中任何一个,则启动过程将停止,存储系统将暂停。

如果存储系统成功联系任何指定的密钥管理服务器,则会尝试建立 SSL 连接,时间最长为 15 分钟。如果存储系统无法与任何指定的密钥管理服务器建立 SSL 连接,则启动过程将停止,存储系统将暂停。

当存储系统尝试联系并连接到密钥管理服务器时,它会在 CLI 中显示有关失败的联系尝试的详细信息。您可以随时按 Ctrl-C 中断联系尝试

作为一项安全措施, SED 仅允许有限数量的未授权访问尝试,之后,它们将禁用对现有数据的访问。如果存储系统无法联系任何指定的密钥管理服务器以获取正确的身份验证密钥,则只能尝试使用默认密钥进行身份验证,从而导致尝试失败并发生崩溃。如果存储系统配置为在发生崩溃时自动重新启动,则它将进入启动环路,从而导致 SED 上的身份验证尝试持续失败。

在这些情况下,暂停存储系统的设计是为了防止存储系统进入启动环路,并防止因连续失败身份验证尝试次数超过安全限制而永久锁定 SED 而可能导致意外数据丢失。锁定保护的限制和类型取决于 SED 的制造规格和类型:

SED类型

导致锁定的连续身份验证尝试失败次数

达到安全限制时的锁定保护类型

HDD

1024

永久。即使正确的身份验证密钥再次可用,数据也无法恢复。

X440_PHM2800MCTO 800 GB NSE SSD ,固件版本为 NA00 或 NA01

5.

临时。只有在磁盘重新启动之前,锁定才有效。

X577_PHM2800MCTO 800 GB NSE SSD、固件版本为NA00或NA01

5.

临时。只有在磁盘重新启动之前,锁定才有效。

具有更高固件版本的 X440_PHM2800MCTO 800 GB NSE SSD

1024

永久。即使正确的身份验证密钥再次可用,数据也无法恢复。

具有更高固件版本的 X567_PHM2800MCTO 800 GB NSE SSD

1024

永久。即使正确的身份验证密钥再次可用,数据也无法恢复。

所有其他 SSD 型号

1024

永久。即使正确的身份验证密钥再次可用,数据也无法恢复。

对于所有 SED 类型,成功的身份验证会将尝试次数重置为零。

如果您遇到存储系统因无法访问任何指定密钥管理服务器而暂停的情况,则必须先确定并更正通信失败的发生原因,然后再尝试继续启动存储系统。