Skip to main content
ONTAP MetroCluster
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 MetroCluster IP 組態中設定端點對端點加密

貢獻者
PDF

從 ONTAP 9.15.1 開始、您可以設定端點對端點加密、以加密 MetroCluster IP 組態中站台之間的後端流量、例如 NVlog 和儲存複寫資料。

關於這項工作

  • 您必須是叢集管理員才能執行此工作。

  • 在設定端點對端點加密之前、您必須先設定 "設定外部金鑰管理"

  • 檢閱在 MetroCluster IP 組態中設定端點對端點加密所需的支援系統和最低 ONTAP 版本:

    最低 ONTAP 版本

    支援的系統

    ONTAP 9.15.1.1

    • 解答400 AFF

    • FAS8300

    • FAS8700

啟用端點對端點加密

請執行下列步驟以啟用端點對端點加密。

步驟

  1. 驗MetroCluster 證整個過程的效能狀況。

    1. 驗證MetroCluster 這些元件是否正常運作:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此作業會在背景執行。

    2. 之後 metrocluster check run 作業完成、執行:

      metrocluster check show

      大約五分鐘後、會顯示下列結果:

    cluster_A:::*> metrocluster check show

Component           Result
------------------- ---------
nodes               ok
lifs                ok
config-replication  ok
aggregates          ok
clusters            ok
connections         not-applicable
volumes             ok
7 entries were displayed.

    1. 檢查執行MetroCluster 中的檢查作業狀態:

      metrocluster operation history show -job-id <id>

    2. 確認沒有健全狀況警示:

      system health alert show

  2. 確認兩個叢集上都已設定外部金鑰管理:

    security key-manager external show-status

  3. 為每個 DR 群組啟用端點對端點加密:

    metrocluster modify -is-encryption-enabled true -dr-group-id <dr_group_id>

    • 範例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled true -dr-group-id 1
Warning: Enabling encryption for a DR Group will secure NVLog and Storage
         replication data sent between MetroCluster nodes and have an impact on
         performance. Do you want to continue? {y|n}: y
[Job 244] Job succeeded: Modify is successful.

    + 對組態中的每個 DR 群組重複此步驟。

  4. 確認已啟用端點對端點加密:

    metrocluster node show -fields is-encryption-enabled

    • 範例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled

dr-group-id cluster    node      configuration-state is-encryption-enabled
----------- ---------- --------  ------------------- -----------------
1           cluster_A  node_A_1  configured          true
1           cluster_A  node_A_2  configured          true
1           cluster_B  node_B_1  configured          true
1           cluster_B  node_B_2  configured          true
4 entries were displayed.

停用端點對端點加密

執行下列步驟以停用端點對端點加密。

步驟

  1. 驗MetroCluster 證整個過程的效能狀況。

    1. 驗證MetroCluster 這些元件是否正常運作:

      metrocluster check run
      cluster_A::*> metrocluster check run

      此作業會在背景執行。

    2. 之後 metrocluster check run 作業完成、執行:

      metrocluster check show

      大約五分鐘後、會顯示下列結果:

    cluster_A:::*> metrocluster check show

Component           Result
------------------- ---------
nodes               ok
lifs                ok
config-replication  ok
aggregates          ok
clusters            ok
connections         not-applicable
volumes             ok
7 entries were displayed.

    1. 檢查執行MetroCluster 中的檢查作業狀態:

      metrocluster operation history show -job-id <id>

    2. 確認沒有健全狀況警示:

      system health alert show

  2. 確認兩個叢集上都已設定外部金鑰管理:

    security key-manager external show-status

  3. 在每個 DR 群組上停用端點對端點加密:

    metrocluster modify -is-encryption-enabled false -dr-group-id <dr_group_id>

    • 範例 *

    cluster_A::*> metrocluster modify -is-encryption-enabled false -dr-group-id 1
[Job 244] Job succeeded: Modify is successful.

    + 對組態中的每個 DR 群組重複此步驟。

  4. 確認端點對端點加密已停用:

    metrocluster node show -fields is-encryption-enabled

    • 範例 *

    cluster_A::*> metrocluster node show -fields is-encryption-enabled

dr-group-id cluster    node      configuration-state is-encryption-enabled
----------- ---------- --------  ------------------- -----------------
1           cluster_A  node_A_1  configured          false
1           cluster_A  node_A_2  configured          false
1           cluster_B  node_B_1  configured          false
1           cluster_B  node_B_2  configured          false
4 entries were displayed.