Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

数据复制加密

贡献者

为了补充空闲数据加密功能、您可以使用TLS 1.2和SnapMirror、SnapVault或FlexCache的预共享密钥对集群之间的ONTAP数据复制流量进行加密。

在为灾难恢复、缓存或备份复制数据时、您必须在通过线缆从一个ONTAP 集群传输到另一个集群期间保护这些数据。这样可以防止在敏感数据传输过程中对其进行恶意中间人攻击。

从ONTAP 9.6开始、集群对等加密可为SnapMirror、SnapVault和FlexCache等ONTAP数据复制功能提供TLS 1.2 AES-256 GCM加密支持。加密可通过两个集群对等方之间的预共享密钥( PSk )进行设置。

如果客户使用NSE、NVE和NAE等技术来保护空闲数据、则还可以升级到ONTAP 9.6或更高版本以使用集群对等加密来使用端到端数据加密。

集群对等会对集群对等之间的所有数据进行加密。例如、在使用SnapMirror时、源集群对等方与目标集群对等方之间的所有对等信息以及所有SnapMirror关系都会进行加密。您不能在启用了集群对等加密的集群对等之间发送明文数据。

从ONTAP 9.6开始、新的集群对等关系会默认启用加密。要对ONTAP 9.6之前创建的集群对等关系启用加密、必须将源集群和目标集群升级到9.6。此外、您必须使用 cluster peer modify 命令将源集群对等方和目标集群对等方更改为使用集群对等加密。

您可以转换现有对等关系、以便在ONTAP 9.6中使用集群对等加密、如以下示例所示:

On the Destination Cluster Peer

cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter a passphrase.

On the Source Cluster Peer

cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter the same passphrase you created in the previous step.