從合作夥伴節點自動復原啟動媒體 - AFF C800
建議變更
PDF
在AFF C800系統中安裝新的啟動媒體設備後,您可以啟動自動啟動媒體復原過程,以從配對節點復原配置。在復原過程中,系統會檢查是否已啟用加密,並決定正在使用的金鑰加密類型。如果已啟用金鑰加密,系統將引導您完成對應的復原步驟。
自動啟動媒體復原過程僅在ONTAP 9.17.1 及更高版本中支援。如果您的儲存系統運行的是早期版本的ONTAP,請使用"手動啟動恢復程序" 。
-
對於 OKM,您需要叢集範圍的密碼以及備份資料。
-
對於 EKM ,您需要從合作夥伴節點複本下列檔案:
-
/ccfcard/kmip/servers.cfg 檔案。
-
/ccfcard/kmip/certs/client.crt 檔案。
-
/ccfcard/kmip/certs/client.key 檔案。
-
/ccfcard/kmip/certs/ca.pem 檔案。
-
-
在 Loader 提示字元中、輸入命令:
boot_recovery -partner畫面會顯示下列訊息:
Starting boot media recovery (BMR) process. Press Ctrl-C to abort… -
監控開機媒體安裝恢復程序。
程序完成並顯示 `Installation complete`訊息。
-
系統會檢查加密和加密類型,並顯示兩個訊息中的其中一個。視所顯示的訊息而定,請採取下列其中一項動作:
有時候,程序可能無法識別系統上是否已設定金鑰管理程式。它會顯示錯誤訊息,詢問是否已為系統設定金鑰管理程式,然後詢問已設定的金鑰管理程式類型。解決此問題後,程序將會繼續。 顯示組態錯誤尋找提示的範例
Error when fetching key manager config from partner ${partner_ip}: ${status} Has key manager been configured on this system Is the key manager onboard如果您看到此訊息 … 執行此動作… key manager is not configured. Exiting.系統上未安裝加密。完成下列步驟:
-
顯示登入提示時登入節點,並將儲存設備交回:
'容錯移轉還原-ofnode_disapped_node_name_'
-
移至步驟 5 ,啟用停用的自動恢復功能。
key manager is configured.移至步驟 4 以還原適當的金鑰管理程式。
節點進入啟動選單並運行:
-
選項 10 適用於內建金鑰管理程式( OKM )的系統。
-
選項 11 適用於具有外部金鑰管理程式( EKM )的系統。
-
-
選取適當的金鑰管理程式還原程序。
內建金鑰管理程式(OKM)如果偵測到 OKM ,系統會顯示下列訊息,並開始執行 BootMenu Option 10 。
key manager is configured. Entering Bootmenu Option 10... This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
在提示下輸入
Y,確認您要開始 OKM 恢復程序。 -
出現提示時輸入以下內容:
-
密碼
-
當提示確認時再次輸入密碼
-
板載密鑰管理器的備份數據
顯示密碼和備份資料提示的範例
Enter the passphrase for onboard key management: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the passphrase again to confirm: -----BEGIN PASSPHRASE----- <passphrase_value> -----END PASSPHRASE----- Enter the backup data: -----BEGIN BACKUP----- <passphrase_value> -----END BACKUP-----
-
-
繼續監控還原程序,同時從合作夥伴節點還原適當的檔案。
恢復程序完成後、節點將重新開機。下列訊息表示恢復成功:
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.keydb file. Successfully recovered keymanager secrets.
-
當節點重新開機時、請確認系統已重新上線且運作正常、以確認開機媒體恢復成功。
-
將受損的控制器歸還其儲存設備、使其恢復正常運作:
'容錯移轉還原-ofnode_disapped_node_name_'
-
在合作夥伴節點完全啟動並提供資料之後,請在叢集中同步 OKM 金鑰。
security key-manager onboard sync
外部金鑰管理程式(EKM)如果偵測到 EKM ,系統會顯示下列訊息,並開始執行 BootMenu Option 11 。
key manager is configured. Entering Bootmenu Option 11...
-
下一步取決於您的系統執行的 ONTAP 版本:
如果您的系統正在執行… 執行此動作… ONTAP 9.16.0.
-
按 `Ctlr-C`退出 BootMenu Option 11 。
-
按下 `Ctlr-C`以結束 EKM 組態程序並返回開機功能表。
-
選取 BootMenu Option 8 。
-
重新啟動節點。
如果已設定,則 `AUTOBOOT`節點會重新開機,並使用來自合作夥伴節點的組態檔案。
如果 `AUTOBOOT`未設定,請輸入適當的開機命令。節點會重新開機,並使用來自合作夥伴節點的組態檔案。
-
重新啟動節點,以保護開機媒體分割區。
-
繼續執行步驟 C
ONTAP 9.16.1 及更高版本
繼續下一步。
-
-
出現提示時,請輸入下列 EKM 組態設定:
行動 範例 從檔案輸入用戶端憑證內容
/cfcard/kmip/certs/client.crt。顯示用戶端憑證內容範例
-----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
輸入檔案中的用戶端金鑰檔案內容
/cfcard/kmip/certs/client.key。顯示用戶端金鑰檔案內容的範例
-----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY-----
輸入檔案中的 KMIP 伺服器 CA 檔案內容
/cfcard/kmip/certs/CA.pem。顯示 KMIP 伺服器檔案內容範例
-----BEGIN CERTIFICATE----- <KMIP_certificate_CA_value> -----END CERTIFICATE-----
輸入檔案中的伺服器組態檔案內容
/cfcard/kmip/servers.cfg。顯示伺服器組態檔案內容的範例
xxx.xxx.xxx.xxx:5696.host=xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx:5696.port=5696 xxx.xxx.xxx.xxx:5696.trusted_file=/cfcard/kmip/certs/CA.pem xxx.xxx.xxx.xxx:5696.protocol=KMIP1_4 1xxx.xxx.xxx.xxx:5696.timeout=25 xxx.xxx.xxx.xxx:5696.nbio=1 xxx.xxx.xxx.xxx:5696.cert_file=/cfcard/kmip/certs/client.crt xxx.xxx.xxx.xxx:5696.key_file=/cfcard/kmip/certs/client.key xxx.xxx.xxx.xxx:5696.ciphers="TLSv1.2:kRSA:!CAMELLIA:!IDEA:!RC2:!RC4:!SEED:!eNULL:!aNULL" xxx.xxx.xxx.xxx:5696.verify=true xxx.xxx.xxx.xxx:5696.netapp_keystore_uuid=<id_value>
如果出現提示,請輸入合作夥伴的 ONTAP 叢集 UUID 。
您可以使用以下方式從夥伴節點檢查叢集 UUID `cluster identify show`命令。
顯示 ONTAP 叢集 UUID 範例
Notice: bootarg.mgwd.cluster_uuid is not set or is empty. Do you know the ONTAP Cluster UUID? {y/n} y Enter the ONTAP Cluster UUID: <cluster_uuid_value> System is ready to utilize external key manager(s).如果出現提示,請輸入節點的暫用網路介面和設定。
您需要輸入:
-
連接埠的 IP 位址
-
連接埠的網路遮罩
-
預設網關的 IP 位址
顯示暫時網路設定的範例
In order to recover key information, a temporary network interface needs to be configured. Select the network port you want to use (for example, 'e0a') e0M Enter the IP address for port : xxx.xxx.xxx.xxx Enter the netmask for port : xxx.xxx.xxx.xxx Enter IP address of default gateway: xxx.xxx.xxx.xxx Trying to recover keys from key servers.... [discover_versions] [status=SUCCESS reason= message=]
-
-
視金鑰是否成功還原而定、請採取下列其中一項動作:
-
如果你看到 `kmip2_client: Successfully imported the keys from external key server: xxx.xxx.xxx.xxx:5696`在輸出中,EKM 配置已成功恢復。
該過程嘗試從夥伴節點恢復適當的檔案並重新啟動該節點。轉至步驟 d。
-
如果密鑰未成功恢復,系統將停止並指示無法恢復密鑰。顯示錯誤和警告訊息。您必須重新執行復原過程:
boot_recovery -partner
顯示金鑰還原錯誤和警告訊息的範例
ERROR: kmip_init: halting this system with encrypted mroot... WARNING: kmip_init: authentication keys might not be available. ******************************************************** * A T T E N T I O N * * * * System cannot connect to key managers. * * * ******************************************************** ERROR: kmip_init: halting this system with encrypted mroot... . Terminated Uptime: 11m32s System halting... LOADER-B>
-
-
當節點重新開機時,請確認系統已重新上線且可運作,以確認開機媒體還原是否成功。
-
將控制器的儲存設備歸還,使其恢復正常運作:
'容錯移轉還原-ofnode_disapped_node_name_'
-
-
如果自動恢復已停用、請重新啟用:
storage failover modify -node local -auto-giveback true -
如果啟用 AutoSupport 、請還原自動建立案例:
system node autosupport invoke -node * -type all -message MAINT=END
還原 ONTAP 映像並啟動節點並提供資料之後"將故障零件退回 NetApp",您就可以了。