在 MetroCluster IP 組態中設定端點對端點加密
建議變更
PDF
從ONTAP 9.15.1 開始,您可以在支援的系統上設定端對端加密,以加密MetroCluster IP 設定中的網站之間的後端流量,例如 NVlog 和儲存複製資料。
-
您必須是叢集管理員才能執行此工作。
-
在設定端點對端點加密之前、您必須先設定 "設定外部金鑰管理"。
-
檢閱在 MetroCluster IP 組態中設定端點對端點加密所需的支援系統和最低 ONTAP 版本:
最低 ONTAP 版本 支援的系統 ONTAP 9.17.1
-
AFF A800和AFF C800
-
AFF A20、 AFF A30、 AFF C30、 AFF A50、 AFF C60
-
AFF A70、 AFF A90、 AFF A1K、 AFF C80
-
FAS50 、 FAS70 、 FAS90
ONTAP 9.15.1.1
-
解答400 AFF
-
FAS8300
-
FAS8700
-
啟用端點對端點加密
請執行下列步驟以啟用端點對端點加密。
-
驗MetroCluster 證整個過程的效能狀況。
-
驗證MetroCluster 這些元件是否正常運作:
metrocluster check runcluster_A::*> metrocluster check run
此作業會在背景執行。
-
之後
metrocluster check run作業完成、執行:metrocluster check show大約五分鐘後、會顯示下列結果:
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
檢查執行MetroCluster 中的檢查作業狀態:
metrocluster operation history show -job-id <id> -
確認沒有健全狀況警示:
system health alert show
-
-
確認兩個叢集上都已設定外部金鑰管理:
security key-manager external show-status -
為每個 DR 群組啟用端點對端點加密:
metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>-
範例 *
cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1 Warning: Enabling encryption for a DR Group will secure NVLog and Storage replication data sent between MetroCluster nodes and have an impact on performance. Do you want to continue? {y|n}: y [Job 244] Job succeeded: Modify is successful.+ 對組態中的每個 DR 群組重複此步驟。
-
-
確認已啟用端點對端點加密:
metrocluster node show -fields is-encryption-enabled-
範例 *
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured true 1 cluster_A node_A_2 configured true 1 cluster_B node_B_1 configured true 1 cluster_B node_B_2 configured true 4 entries were displayed.
-
停用端點對端點加密
執行下列步驟以停用端點對端點加密。
-
驗MetroCluster 證整個過程的效能狀況。
-
驗證MetroCluster 這些元件是否正常運作:
metrocluster check runcluster_A::*> metrocluster check run
此作業會在背景執行。
-
之後
metrocluster check run作業完成、執行:metrocluster check show大約五分鐘後、會顯示下列結果:
cluster_A:::*> metrocluster check show Component Result ------------------- --------- nodes ok lifs ok config-replication ok aggregates ok clusters ok connections not-applicable volumes ok 7 entries were displayed.
-
檢查執行MetroCluster 中的檢查作業狀態:
metrocluster operation history show -job-id <id> -
確認沒有健全狀況警示:
system health alert show
-
-
確認兩個叢集上都已設定外部金鑰管理:
security key-manager external show-status -
在每個 DR 群組上停用端點對端點加密:
metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>-
範例 *
cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1 [Job 244] Job succeeded: Modify is successful.
+ 對組態中的每個 DR 群組重複此步驟。
-
-
確認端點對端點加密已停用:
metrocluster node show -fields is-encryption-enabled-
範例 *
cluster_A::*> metrocluster node show -fields is-encryption-enabled dr-group-id cluster node configuration-state is-encryption-enabled ----------- ---------- -------- ------------------- ----------------- 1 cluster_A node_A_1 configured false 1 cluster_A node_A_2 configured false 1 cluster_B node_B_1 configured false 1 cluster_B node_B_2 configured false 4 entries were displayed.
-