本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

取得外部金鑰管理伺服器的IP位址以進行儲存加密

升級後、您必須立即設定儲存加密、並建立全叢集驗證金鑰、以取代先前的節點層級驗證金鑰。

步驟
  1. 安裝必要的用戶端和伺服器安全通訊端層(SSL)憑證、以與金鑰管理伺服器通訊:

    「安全憑證安裝」

  2. 在每個節點上使用下列命令、在所有節點上設定儲存加密:

    「安全金鑰管理程式外部啟用」

  3. 新增每個金鑰管理伺服器的IP位址:

    「安全金鑰管理程式外部附加伺服器-金鑰伺服器_key_manager_server_ip_address_」

  4. 確認叢集中所有節點上都已設定並可使用相同的金鑰管理伺服器:

    「安全金鑰管理程式外部顯示狀態」

  5. 建立新的全叢集驗證金鑰:

    「安全金鑰管理程式金鑰建立」

  6. 記下新的驗證金鑰ID。

  7. 使用新的驗證金鑰重新輸入所有自我加密磁碟機的金鑰:

    「torage加密磁碟modify -disk *-data-key-id imalization_key_id

使用KMIP伺服器管理驗證

從ONTAP 功能更新至功能更新至功能更新、您可以使用金鑰管理互通性傳輸協定(KMIP)伺服器來管理驗證金鑰。

步驟
  1. 新增控制器:

    「安全金鑰管理程式外部啟用」

  2. 新增金鑰管理程式:

    「安全金鑰管理程式外部附加伺服器-金鑰伺服器_key_manager_server_ip_address_」

  3. 驗證金鑰管理伺服器是否已設定、且可供叢集中的所有節點使用:

    「安全金鑰管理程式外部顯示狀態」

  4. 將驗證金鑰從所有連結的金鑰管理伺服器還原至新節點:

    「安全金鑰管理程式外部還原-node_new_控制 器名稱_」

  5. 使用新的驗證金鑰重新輸入所有自我加密磁碟:

    「torage加密磁碟修改磁碟*(-data-key-id nonMSID Ak)」

  6. 如果您使用聯邦資訊處理標準(FIPS)、請使用新的驗證金鑰重新鎖定所有自我加密磁碟:

    「torage加密磁碟修改磁碟*(-fIPS-key-id nonMSID Ak)」

使用Onboard Key Manager管理儲存加密

您可以使用OKM來管理加密金鑰。如果您打算使用OKM、則必須在開始升級之前記錄密碼和備份資料。

步驟
  1. 將通關密碼儲存至安全位置。

  2. 建立備份以供還原之用。執行下列命令並儲存輸出:

    「安全金鑰管理程式內建show Backup」

靜止SnapMirror關係(選用)

在繼續執行此程序之前、您必須確認所有SnapMirror關係均已靜止。當SnapMirror關係靜止時、它會在重新開機和容錯移轉之間保持靜止。

步驟
  1. 驗證目的地叢集上的SnapMirror關係狀態:

    「napmirror show」

    附註

    如果狀態為「Transferring(正在傳輸)」、您必須中止傳輸:「napmirror abort-destination-vserver vserver_name

    如果SnapMirror關係未處於「傳輸」狀態、則中止將會失敗。

  2. 停止叢集之間的所有關係:

    「napmirror quiesce -destination-vserver vserver_name