檢查內建加密金鑰 - ASA A250
個別的 PDF 文件集合
Creating your file...
在關閉受損控制器並檢查內建加密金鑰的狀態之前、您必須檢查受損控制器的狀態、停用自動恢復、並檢查系統上執行的 ONTAP 版本。
如果叢集有兩個以上的節點、則叢集必須處於仲裁狀態。如果叢集未達到法定人數、或健全的控制器顯示為「假」、表示符合資格和健全狀況、則您必須在關閉受損的控制器之前修正問題;請參閱 "將節點與叢集同步"。
-
檢查受損控制器的狀態:
-
如果受損的控制器處於登入提示狀態、請以「admin」身分登入。
-
如果受損的控制器處於載入器提示狀態、並且是HA組態的一部分、請在健全的控制器上以「admin」身分登入。
-
如果受損的控制器處於獨立組態、並在載入器提示下、請聯絡 "mysupport.netapp.com"。
-
-
如果啟用了此功能、請叫用下列訊息來抑制自動建立案例:「System Node現象叫用節點*-type all -Message MAn=number_of_hs_Downh」AutoSupport AutoSupport AutoSupport
下列AutoSupport 資訊不顯示自動建立案例兩小時的訊息:「cluster1:>系統節點AutoSupport 、叫用節點-輸入ALL -Message MAn=2h」
-
使用ONTAP 「vrvion -v」命令檢查系統在受損控制器上執行的版本;如果受損控制器停機、則檢查合作夥伴控制器上執行的版本:
-
如果命令輸出中顯示<lanne-dare>或<1Oanne-dare>、表示系統不支援NVE、請繼續關閉控制器。
-
如果命令輸出中沒有顯示<lno-dare>、而且系統執行ONTAP 的是版本號為32的9.6或更新版本、請前往下一節。
-
-
如果受損的控制器是HA組態的一部分、請停用健全控制器的自動恢復功能:「儲存容錯移轉修改節點本機-自動恢復錯誤」或「儲存容錯移轉修改節點本機-自動恢復發生恐慌後的錯誤」
在執行ONTAP Se 9.6及更新版本的系統上檢查NVE或NSE
在關閉受損的控制器之前、您需要確認系統是否已啟用NetApp Volume Encryption(NVE)或NetApp Storage Encryption(NSE)。如果是、您需要驗證組態。
-
驗證叢集中的任何磁碟區是否正在使用NVE:「Volume show -is -Encrypted true(Volume show -is -Encrypted true)」
如果輸出中列出任何磁碟區、則會設定NVE、您需要驗證NVE組態。如果未列出任何磁碟區、請檢查是否已設定及使用NSE。
-
驗證是否已設定NSE並使用:「顯示磁碟加密」
-
如果命令輸出中列出磁碟機詳細資料及模式與金鑰ID資訊、則NSE已設定完成、您需要驗證NSE組態並使用中。
-
如果未顯示任何磁碟、則表示未設定NSE。
-
如果未設定NVE和NSE、則不會有任何磁碟機受到NSE金鑰保護、因此可以安全地關閉受損的控制器。
-
確認NVE組態
-
顯示儲存在金鑰管理伺服器上之驗證金鑰的金鑰 ID :
security key-manager key query
發行完發行版不只是發行版的版本、您可能還需要其他的金鑰管理程式類型。ONTAP這些類型包括「KMIP」、「AKV」和「GCP」。確認這些類型的程序與確認「外部」或「內建」金鑰管理程式類型相同。 -
如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示為「是」、則關閉受損的控制器是安全的做法。
-
如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示為「yes」、則您需要完成一些額外步驟。
-
如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。
-
如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示「yes」以外的任何內容、則您需要完成一些額外步驟。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄顯示「yes(是)」、請手動備份OKM資訊:
-
進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」
-
輸入命令以顯示金鑰管理資訊:「安全金鑰管理程式內建show-backup」
-
將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
返回管理模式:「et -priv admin」
-
關閉受損的控制器。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示「external(外部)」、而「restored.(還原)」欄顯示「yes(是)」以外的任何內容:
-
將外部金鑰管理驗證金鑰還原至叢集中的所有節點:「安全金鑰管理程式外部還原」
如果命令失敗、請聯絡NetApp支援部門。
-
確認
Restored
欄等於yes
對於所有驗證金鑰:security key-manager key query
-
關閉受損的控制器。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄則顯示「yes(是)」以外的任何內容:
-
輸入內建的安全金鑰管理程式同步命令:「安全金鑰管理程式內建同步」
在提示字元處輸入客戶的 32 個字元、英數字元內建金鑰管理密碼。如果無法提供通關密碼、請聯絡NetApp支援部門。 "mysupport.netapp.com" -
驗證
Restored
欄顯示yes
對於所有驗證金鑰:security key-manager key query
-
驗證「Key Manager(金鑰管理程式)」類型是否顯示為「OnBoard(機上)」、然後手動備份OKM資訊。
-
進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」
-
輸入命令以顯示金鑰管理備份資訊:「安全金鑰管理程式內建show-backup」
-
將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
返回管理模式:「et -priv admin」
-
您可以安全地關閉控制器。
-
驗證NSE組態
-
顯示儲存在金鑰管理伺服器上之驗證金鑰的金鑰 ID :
security key-manager key query -key-type NSE-AK
發行完發行版不只是發行版的版本、您可能還需要其他的金鑰管理程式類型。ONTAP這些類型包括「KMIP」、「AKV」和「GCP」。確認這些類型的程序與確認「外部」或「內建」金鑰管理程式類型相同。 -
如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示為「是」、則關閉受損的控制器是安全的做法。
-
如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示為「yes」、則您需要完成一些額外步驟。
-
如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。
-
如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄顯示「yes(是)」、請手動備份OKM資訊:
-
進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」
-
輸入命令以顯示金鑰管理資訊:「安全金鑰管理程式內建show-backup」
-
將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
返回管理模式:「et -priv admin」
-
您可以安全地關閉控制器。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示「external(外部)」、而「restored.(還原)」欄顯示「yes(是)」以外的任何內容:
-
將外部金鑰管理驗證金鑰還原至叢集中的所有節點:「安全金鑰管理程式外部還原」
如果命令失敗、請聯絡NetApp支援部門。
-
確認
Restored
欄等於yes
對於所有驗證金鑰:security key-manager key query
-
您可以安全地關閉控制器。
-
-
如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄則顯示「yes(是)」以外的任何內容:
-
輸入內建的安全金鑰管理程式同步命令:「安全金鑰管理程式內建同步」
在提示字元處輸入客戶的 32 個字元、英數字元內建金鑰管理密碼。如果無法提供通關密碼、請聯絡NetApp支援部門。
-
驗證
Restored
欄顯示yes
對於所有驗證金鑰:security key-manager key query
-
驗證「Key Manager(金鑰管理程式)」類型是否顯示為「OnBoard(機上)」、然後手動備份OKM資訊。
-
進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」
-
輸入命令以顯示金鑰管理備份資訊:「安全金鑰管理程式內建show-backup」
-
將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
返回管理模式:「et -priv admin」
-
您可以安全地關閉控制器。
-