使用外部金鑰管理時解除鎖定磁碟機
如果您已設定外部金鑰管理、之後再將啟用安全功能的磁碟機從一個儲存陣列移至另一個儲存陣列、則必須重新指派安全金鑰給新的儲存陣列、才能存取磁碟機上的加密資料。
-
在來源陣列(您要移除磁碟機的陣列)上、您已匯出磁碟區群組並移除磁碟機。在目標陣列上、您已重新安裝磁碟機。
System Manager使用者介面不支援匯出/匯入功能;您必須使用命令列介面(CLI)將磁碟區群組匯出/匯入至不同的儲存陣列。 有關移轉 Volume 群組的詳細說明,請參閱 "NetApp知識庫"。請務必遵循適當的指示、以處理由System Manager管理的較新陣列或舊系統。
-
必須啟用磁碟機安全功能。否則、在此工作期間會開啟「無法建立安全金鑰」對話方塊。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。
-
您必須知道金鑰管理伺服器的IP位址和連接埠號碼。
-
您有已簽署的儲存陣列控制器用戶端憑證檔案、而且您已將該檔案複製到您正在存取System Manager的主機。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其金鑰管理互通性傳輸協定(KMIP)要求。
-
您必須從金鑰管理伺服器擷取憑證檔案、然後將該檔案複製到您正在存取System Manager的主機。金鑰管理伺服器憑證會驗證金鑰管理伺服器、因此儲存陣列可以信任其IP位址。您可以將根、中繼或伺服器憑證用於金鑰管理伺服器。
如需伺服器憑證的詳細資訊、請參閱金鑰管理伺服器的文件。 |
當您使用外部金鑰管理時、安全金鑰會儲存在專為安全保護安全金鑰而設計的伺服器外部。安全金鑰是控制器和磁碟機共用的字元字串、用於讀取/寫入存取。當磁碟機從陣列中實際移除並安裝在另一個陣列中時、除非您提供正確的安全金鑰、否則這些磁碟機將無法運作。
您可以從控制器的持續記憶體建立內部金鑰、或從金鑰管理伺服器建立外部金鑰。本主題說明使用_extERE_金鑰管理時解除資料鎖定。如果您使用 INTERFive 金鑰管理"使用內部金鑰管理時解除磁碟機鎖定",請參閱。如果您正在執行控制器升級,並且要將所有控制器交換為最新的硬體,則必須依照 E 系列和 SANtricity 文件中心中所述的不同步驟進行"解除磁碟機鎖定"。 |
在另一個陣列中重新安裝啟用安全功能的磁碟機後,該陣列會探索這些磁碟機,並顯示「需要注意」狀態以及「需要安全金鑰」狀態。若要解除鎖定磁碟機資料,請匯入安全金鑰檔案,然後輸入金鑰的密碼短語。(此密碼與儲存陣列的管理員密碼不同。)在此過程中,您將儲存陣列設定為使用外部金鑰管理伺服器,然後即可存取安全金鑰。您必須提供伺服器的聯絡資訊、以供儲存陣列連線及擷取安全金鑰。
如果新儲存陣列中安裝了其他已啟用安全功能的磁碟機、它們可能會使用與您匯入磁碟機不同的安全金鑰。在匯入程序期間、舊的安全金鑰僅用於解除鎖定您要安裝之磁碟機的資料。當解除鎖定程序成功時、新安裝的磁碟機會重新鎖定至目標儲存陣列的安全金鑰。
-
選取功能表:設定[系統]。
-
在*安全金鑰管理*下、選取*建立外部金鑰*。
-
使用必要的連線資訊和憑證完成精靈。
-
按一下*測試通訊*以確保存取外部金鑰管理伺服器。
-
選取*解除鎖定安全磁碟機*。
「解除鎖定安全磁碟機」對話方塊隨即開啟。任何需要安全金鑰的磁碟機都會顯示在表格中。
-
*選用:*將滑鼠游標移到磁碟機編號上、即可查看磁碟機的位置(機櫃編號和機櫃編號)。
-
按一下*瀏覽*、然後選取與您要解除鎖定磁碟機對應的安全金鑰檔案。
您選取的金鑰檔會出現在對話方塊中。
-
輸入與此金鑰檔相關的密碼。
您輸入的字元會被遮罩。
-
按一下*解除鎖定*。
如果解除鎖定作業成功、對話方塊會顯示:「相關的安全磁碟機已解除鎖定。」
當所有磁碟機都已鎖定、然後解除鎖定時、儲存陣列中的每個控制器都會重新開機。但是、如果目標儲存陣列中已有未鎖定的磁碟機、則控制器將不會重新開機。
在目的地陣列(新安裝磁碟機的陣列)上、您現在可以匯入磁碟區群組。
System Manager使用者介面不支援匯出/匯入功能;您必須使用命令列介面(CLI)將磁碟區群組匯出/匯入至不同的儲存陣列。 |
有關移轉 Volume 群組的詳細說明,請參閱 "NetApp知識庫"。