在 SANtricity System Manager 中使用外部金鑰管理時解鎖磁碟機
建議變更
PDF
如果您設定了外部金鑰管理,然後將啟用安全功能的磁碟機從一個儲存陣列移至另一個儲存陣列,則必須將安全金鑰重新指派給新的儲存陣列,才能存取磁碟機上的加密資料。
-
在來源陣列(即您要移除磁碟機的陣列)上、您已匯出磁碟區群組並移除了磁碟機。在目標陣列上、您已重新安裝了磁碟機。
System Manager 使用者介面不支援匯出/匯入功能;您必須使用命令列介面(CLI)將磁碟區群組匯出/匯入至不同的儲存陣列。 遷移磁碟區群組的詳細說明請參閱 "NetApp 知識庫"。請務必遵循適用於由 System Manager 管理的較新陣列或舊系統的相應說明。
-
必須啟用 Drive Security 功能。否則,在此任務期間會開啟 Cannot Create Security Key 對話方塊。如有必要,請聯絡您的儲存供應商,以取得啟用 Drive Security 功能的說明。
-
您必須知道金鑰管理伺服器的 IP 位址和連接埠號碼。
-
您擁有儲存陣列控制器的已簽署用戶端憑證檔案,並且已將該檔案複製到您存取 System Manager 的主機上。用戶端憑證用於驗證儲存陣列的控制器,以便金鑰管理伺服器可以信任其 Key Management Interoperability Protocol (KMIP) 請求。
-
您必須從金鑰管理伺服器擷取憑證文件,然後將該文件複製到您存取 System Manager 的主機。金鑰管理伺服器憑證用於驗證金鑰管理伺服器,以便儲存陣列可以信任其 IP 位址。您可以為金鑰管理伺服器使用根憑證、中間憑證或伺服器憑證。
|
|
如需伺服器憑證的詳細資訊,請參閱金鑰管理伺服器的說明文件。 |
使用外部金鑰管理時,安全金鑰會儲存在專為保護安全金鑰而設計的伺服器上。安全金鑰是控制器和磁碟機共享的一串字元,用於讀取/寫入存取。當磁碟機從陣列中實體移除並安裝到另一個陣列中時,必須提供正確的安全金鑰才能使其正常運作。
|
|
您可以從控制器的持久記憶體建立內部金鑰,也可以從金鑰管理伺服器建立外部金鑰。本主題介紹使用外部金鑰管理時如何解鎖資料。如果您使用的是內部金鑰管理,請參閱"使用內部金鑰管理時解鎖磁碟機"。如果您正在執行控制器升級並將所有控制器更換為最新硬體,則必須按照 E-Series 和 SANtricity 文件中心中"解除鎖定磁碟機"所述的不同步驟進行操作。 |
當您在另一個陣列中重新安裝啟用安全功能的磁碟機後,陣列會發現這些磁碟機,並顯示「需要注意」狀態以及「需要安全性金鑰」狀態。要解鎖磁碟機資料,您需要匯入安全金鑰檔案並輸入金鑰的通關密碼。(此通關密碼與儲存陣列的 Administrator 密碼不同。)在此過程中,您需要將儲存陣列設定為使用外部金鑰管理伺服器,之後即可存取安全金鑰。您需要提供伺服器的聯絡資訊,以便儲存陣列連線並擷取安全金鑰。
如果新儲存陣列中安裝了其他啟用安全功能的磁碟機,它們可能會使用與您正在匯入的安全性金鑰不同的安全性金鑰。在匯入過程中,舊安全性金鑰僅用於解鎖您正在安裝的磁碟機資料。解鎖程序成功時,新安裝的磁碟機會重新輸入目標儲存陣列的安全性金鑰。
-
選擇功能表:Settings[System]。
-
在 Security key management 下,選擇 Create External Key 。
-
使用必要的連線資訊和憑證完成精靈。
-
按一下 Test Communication 以確保能夠存取外部金鑰管理伺服器。
-
選擇 Unlock Secure Drives 。
「解鎖安全磁碟機」對話方塊隨即開啟。表格中會顯示所有需要安全金鑰的磁碟機。
-
選用: 將滑鼠游標移至磁碟機編號上方,即可查看磁碟機的位置 (機櫃編號和磁碟機插槽編號)。
-
按一下 Browse 、然後選取與您要解除鎖定的磁碟機對應的安全金鑰檔案。
您選取的金鑰檔案會顯示在對話方塊中。
-
請輸入與此金鑰檔案相關聯的密碼短語。
您輸入的字元會被遮罩。
-
按一下 Unlock 。
如果解鎖操作成功,對話方塊將顯示:「關聯的安全磁碟機已解鎖。」
當所有磁碟機都被鎖定然後解鎖時,儲存陣列中的每個控制器都會重新開機。但是,如果目標儲存陣列中已經有一些解鎖的磁碟機,則控制器不會重新開機。
在目標陣列(安裝了新磁碟機的陣列)上,您現在可以匯入磁碟區群組。
|
|
System Manager 使用者介面不支援匯出/匯入功能;您必須使用命令列介面(CLI)將磁碟區群組匯出/匯入至不同的儲存陣列。 |
有關遷移磁碟區群組的詳細說明,請參閱 "NetApp 知識庫"。