身份验证密钥丢失后、使用ONTAP将FIPS驱动器或SED恢复使用
如果您永久丢失 FIPS 驱动器或 SED 的身份验证密钥,并且无法从 KMIP 服务器检索这些密钥,则系统会将其视为已损坏。虽然您无法访问或恢复磁盘上的数据,但可以采取措施使 SED 的未用空间再次可用于数据。
您必须是集群管理员才能执行此任务。
只有在确定 FIPS 驱动器或 SED 的身份验证密钥永久丢失且无法恢复时,才应使用此过程。
如果磁盘已分区、则必须先取消分区、然后才能启动此过程。
取消磁盘分区的命令只能在diag级别使用、并且只能在NetApp支持监督下执行。强烈建议您在继续操作之前联系NetApp支持部门。您也可以参考知识库文章 "如何在ONTAP 中取消对备用驱动器的分区"。 |
-
将 FIPS 驱动器或 SED 恢复正常运行:
SED 是否为 …
请执行以下步骤 …
不在 FIPS 兼容模式或 FIPS 兼容模式下,并且 FIPS 密钥可用
-
将权限级别设置为高级:
set -privilege advanced
-
将FIPS密钥重置为默认制造安全ID 0x0:
storage encryption disk modify -fips-key-id 0x0 -disk disk_id
-
验证操作是否成功:
storage encryption disk show-status
如果操作失败、请使用本主题中的PSID过程。 -
对已损坏的磁盘进行分区:
storage encryption disk sanitize -disk disk_id
使用命令验证操作是否成功storage encryption disk show-status
然后再继续下一步。 -
使已清除的磁盘恢复失败:
storage disk unfail -spare true -disk disk_id
-
检查磁盘是否具有所有者:
storage disk show -disk disk_id
如果磁盘没有所有者、请分配一个。
storage disk assign -owner node -disk disk_id
-
输入拥有要清理的磁盘的节点的 nodeshell :
system node run -node node_name
运行
disk sanitize release
命令: -
-
退出nokeshell。再次解除磁盘故障:
storage disk unfail -spare true -disk disk_id
-
验证磁盘现在是否为备用磁盘并可在聚合中重复使用:
storage disk show -disk disk_id
在 FIPS 兼容模式下, FIPS 密钥不可用, SED 的标签上印有 PSID
-
从磁盘标签中获取磁盘的 PSID 。
-
将权限级别设置为高级:
set -privilege advanced
-
将磁盘重置为出厂配置设置:
storage encryption disk revert-to-original-state -disk disk_id -psid disk_physical_secure_id
使用命令验证操作是否成功storage encryption disk show-status
然后再继续下一步。 -
如果您运行的是ONTAP 9.8P5或更早版本、请跳至下一步。如果您运行的是ONTAP 9.8p6或更高版本、请使已检查的磁盘恢复故障。
storage disk unfail -disk disk_id
-
检查磁盘是否具有所有者:
storage disk show -disk disk_id
如果磁盘没有所有者、请分配一个。
storage disk assign -owner node -disk disk_id
-
输入拥有要清理的磁盘的节点的 nodeshell :
system node run -node node_name
运行
disk sanitize release
命令: -
-
退出nokeshell。再次解除磁盘故障:
storage disk unfail -spare true -disk disk_id
-
验证磁盘现在是否为备用磁盘并可在聚合中重复使用:
storage disk show -disk disk_id
-
有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"。