本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

在啟動媒體上恢復ONTAP映像 - ASA A70 和ASA A90

11/18/2025 貢獻者

PDF

在 ASA A70 或 ASA A90 系統中安裝新的開機媒體裝置之後，您可以啟動自動開機媒體還原程序，從合作夥伴節點還原組態。

在恢復過程中，系統會檢查是否已啟用加密，並判斷所使用的金鑰加密類型。如果啟用金鑰加密，系統會引導您完成適當的還原步驟。

開始之前

確定您的密鑰管理器類型：
- 板載金鑰管理器 (OKM)：需要叢集範圍的密碼短語和備份數據
- 外部金鑰管理員 (EKM)：需要來自夥伴節點的下列檔案：
  - /cfcard/kmip/servers.cfg
  - /cfcard/kmip/certs/client.crt
  - /cfcard/kmip/certs/client.key
  - /cfcard/kmip/certs/CA.pem

步驟

在 LOADER 提示字元下，啟動啟動媒體復原程序：

boot_recovery -partner

畫面會顯示下列訊息：

Starting boot media recovery (BMR) process. Press Ctrl-C to abort…
監控開機媒體安裝恢復程序。

程序完成並顯示 `Installation complete`訊息。

系統檢查加密情況，並顯示下列訊息之一：

如果您看到此訊息 … 執行此動作…

如果您看到此訊息 …	執行此動作…
`key manager is not configured. Exiting.`	系統未安裝加密功能。等待登入提示出現。登入節點並歸還儲存空間： '容錯移轉還原-ofnode_disapped_node_name_' 如果自動返還功能已停用，請前往步驟 6 重新啟用功能。
`key manager is configured.`	已安裝加密功能。請轉至步驟 4 恢復金鑰管理員。

key manager is not configured. Exiting.

系統未安裝加密功能。

等待登入提示出現。
登入節點並歸還儲存空間：

'容錯移轉還原-ofnode_disapped_node_name_'
如果自動返還功能已停用，請前往步驟 6 重新啟用功能。

key manager is configured.

已安裝加密功能。請轉至步驟 4 恢復金鑰管理員。

如果系統無法辨識金鑰管理員配置，則會顯示錯誤訊息，並提示您確認是否已配置金鑰管理員以及配置類型（板載或外部）。請回答提示以繼續。

請使用適合您配置的步驟還原金鑰管理員：

內建金鑰管理程式（OKM）

系統顯示以下訊息並開始執行啟動選單選項 10：

key manager is configured.
Entering Bootmenu Option 10...

This option must be used only in disaster recovery procedures. Are you sure? (y or n):

進入 `y`在提示時確認您是否要開始 OKM 恢復過程。
出現提示時，請輸入機載金鑰管理密碼。
出現確認提示時，請再次輸入密碼。

出現提示時，輸入車載金鑰管理員的備份資料。

顯示密碼和備份資料提示的範例

Enter the passphrase for onboard key management:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the passphrase again to confirm:
-----BEGIN PASSPHRASE-----
<passphrase_value>
-----END PASSPHRASE-----
Enter the backup data:
-----BEGIN BACKUP-----
<passphrase_value>
-----END BACKUP-----

監控復原過程，看它如何從夥伴節點復原對應的檔案。

恢復過程完成後，節點將重新啟動。以下資訊顯示恢復成功：

Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.keydb file.

Successfully recovered keymanager secrets.

節點重新啟動後，驗證系統是否恢復上線並正常運作。
將受損的控制器歸還其儲存設備、使其恢復正常運作：

'容錯移轉還原-ofnode_disapped_node_name_'
在夥伴節點完全啟動並開始提供資料服務後，同步叢集中的 OKM 金鑰：

security key-manager onboard sync

如果自動返還功能已停用，請前往步驟 5 重新啟用功能。

外部金鑰管理程式（EKM）

系統顯示以下訊息並開始運行啟動選單選項 11：

key manager is configured.
Entering Bootmenu Option 11...

出現提示時，請輸入EKM設定：

請輸入客戶端證書的內容。 `/cfcard/kmip/certs/client.crt`文件：
顯示用戶端憑證內容範例
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
請輸入客戶端密鑰檔案的內容。 `/cfcard/kmip/certs/client.key`文件：
顯示用戶端金鑰檔案內容的範例
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
從下列位置輸入 KMIP 伺服器 CA(s) 檔案的內容： `/cfcard/kmip/certs/CA.pem`文件：
顯示 KMIP 伺服器檔案內容範例
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----

輸入伺服器設定檔內容 `/cfcard/kmip/servers.cfg`文件：

顯示伺服器組態檔案內容的範例

xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:5696.port=5696
xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem
xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4
1xxx.xxx.xxx.xxx:5696.timeout=25
xxx.xxx.xxx.xxx:5696.nbio=1
xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt
xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key
xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL"
xxx.xxx.xxx.xxx:5696.verify=true
xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>

如果出現提示，請輸入夥伴節點的ONTAP叢集 UUID。您可以使用下列指令從夥伴節點檢查叢集 UUID： `cluster identify show`命令。

顯示ONTAP集群 UUID 提示範例

Notice: bootarg.mgwd.cluster_uuid is not set or is empty.
Do you know the ONTAP Cluster UUID? {y/n} y
Enter the ONTAP Cluster UUID: <cluster_uuid_value>


System is ready to utilize external key manager(s).

如果出現提示，請輸入節點的臨時網路介面和設定：

連接埠的 IP 位址
連接埠的網路遮罩

預設網關的 IP 位址

顯示臨時網路設定提示範例

In order to recover key information, a temporary network interface needs to be
configured.

Select the network port you want to use (for example, 'e0a')
e0M

Enter the IP address for port : xxx.xxx.xxx.xxx
Enter the netmask for port : xxx.xxx.xxx.xxx
Enter IP address of default gateway: xxx.xxx.xxx.xxx
Trying to recover keys from key servers....
[discover_versions]
[status=SUCCESS reason= message=]

驗證金鑰恢復狀態：

如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`輸出結果顯示，EKM 配置已成功恢復。該過程從夥伴節點恢復相應的檔案並重啟節點。進行下一步。

如果密鑰恢復失敗，系統將停止運作並顯示錯誤和警告訊息。從 LOADER 提示字元重新執行復原過程： boot_recovery -partner

顯示金鑰還原錯誤和警告訊息的範例

ERROR: kmip_init: halting this system with encrypted mroot...
WARNING: kmip_init: authentication keys might not be available.
********************************************************
*                 A T T E N T I O N                    *
*                                                      *
*       System cannot connect to key managers.         *
*                                                      *
********************************************************
ERROR: kmip_init: halting this system with encrypted mroot...
.
Terminated

Uptime: 11m32s
System halting...

LOADER-B>

節點重新啟動後，驗證系統是否恢復上線並正常運作。
將控制器的儲存設備歸還，使其恢復正常運作：

'容錯移轉還原-ofnode_disapped_node_name_'

如果自動返還功能已停用，請前往步驟 5 重新啟用功能。

如果自動恢復已停用、請重新啟用：

storage failover modify -node local -auto-giveback true
如果啟用 AutoSupport 、請還原自動建立案例：

system node autosupport invoke -node * -type all -message MAINT=END

下一步

還原 ONTAP 映像並啟動節點並提供資料之後"將故障零件退回 NetApp"，您就可以了。

在啟動媒體上恢復ONTAP映像 - ASA A70 和ASA A90

Creating your file...