Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

檢查內建加密金鑰AFF - EFFEA220和FAS2700

貢獻者

在關閉受損控制器並檢查內建加密金鑰的狀態之前、您必須檢查受損控制器的狀態、停用自動恢復、並檢查系統上執行的 ONTAP 版本。

如果叢集有兩個以上的節點、則叢集必須處於仲裁狀態。如果叢集未達到法定人數、或健全的控制器顯示為「假」、表示符合資格和健全狀況、則您必須在關閉受損的控制器之前修正問題;請參閱 "將節點與叢集同步"

步驟
  1. 檢查受損控制器的狀態:

    • 如果受損的控制器處於登入提示狀態、請以「admin」身分登入。

    • 如果受損的控制器處於載入器提示狀態、並且是HA組態的一部分、請在健全的控制器上以「admin」身分登入。

    • 如果受損的控制器處於獨立組態、並在載入器提示下、請聯絡 "mysupport.netapp.com"

  2. 如果啟用了此功能、請叫用下列訊息來抑制自動建立案例:「System Node現象叫用節點*-type all -Message MAn=number_of_hs_Downh」AutoSupport AutoSupport AutoSupport

    下列AutoSupport 資訊不顯示自動建立案例兩小時的訊息:「cluster1:>系統節點AutoSupport 、叫用節點-輸入ALL -Message MAn=2h」

  3. 使用ONTAP 「vrvion -v」命令檢查系統在受損控制器上執行的版本;如果受損控制器停機、則檢查合作夥伴控制器上執行的版本:

  4. 如果受損的控制器是HA組態的一部分、請停用健全控制器的自動恢復功能:「儲存容錯移轉修改節點本機-自動恢復錯誤」或「儲存容錯移轉修改節點本機-自動恢復發生恐慌後的錯誤」

選項1:在執行ONTAP ENF9.5或更早版本的系統上勾選NVE或NSE

在關閉受損的控制器之前、您需要檢查系統是否已啟用NetApp Volume Encryption(NVE)或NetApp Storage Encryption(NSE)。如果是、您需要驗證組態。

步驟
  1. 將主控台纜線連接至受損的控制器。

  2. 檢查叢集中的任何磁碟區是否已設定NVE:「Volume show -is -Encrypted true」(Volume show -is -Encrypted true)

    如果輸出中列出任何磁碟區、則會設定NVE、您需要驗證NVE組態。如果未列出任何磁碟區、請檢查是否已設定NSE。

  3. 檢查是否已設定NSE:「顯示磁碟加密」

    • 如果命令輸出中列出磁碟機詳細資料及模式與金鑰ID資訊、則NSE已設定完成、您需要驗證NSE組態。

    • 如果未設定NVE和NSE、則可安全關閉受損的控制器。

確認NVE組態

步驟
  1. 顯示儲存在金鑰管理伺服器上驗證金鑰的金鑰ID:「安全金鑰管理程式查詢」

    • 如果「還原」欄顯示「是」、且所有的關鍵經理都顯示「可用」、則關閉受損的控制器是安全的做法。

    • 如果「還原」欄顯示「是」以外的任何內容、或是任何金鑰管理程式顯示「無法使用」、您需要完成一些額外步驟。

    • 如果您看到「啟用內建金鑰管理時、不支援此命令」訊息、您需要完成其他一些步驟。

  2. 如果「RESTORED」欄顯示「yes」以外的任何內容、或是有任何金鑰管理程式顯示「unavailable」(無法使用):

    1. 擷取並還原所有驗證金鑰及相關金鑰ID:「安全金鑰管理程式還原-address *」

      如果命令失敗、請聯絡NetApp支援部門。

    1. 驗證所有驗證金鑰的「restored(還原)」欄位是否顯示「yes(是)」、以及所有金鑰管理程式是否顯示「Available(可用)」:「ecurity key-manager query(安全金鑰管理程式查詢)」

    2. 關閉受損的控制器。

  3. 如果您看到「啟用內建金鑰管理時、不支援此命令」訊息、請顯示內建金鑰管理程式中儲存的金鑰:「安全金鑰管理程式金鑰顯示-詳細資料」

    1. 如果「RESTORED」欄顯示「yes」(是)、請手動備份機載金鑰管理資訊:

      • 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

      • 輸入命令以顯示OKM備份資訊:「安全金鑰管理程式備份顯示」

      • 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

      • 返回管理模式:「et -priv admin」

      • 關閉受損的控制器。

    2. 如果「RESTORED」欄顯示「yes」以外的任何內容:

      • 執行金鑰管理程式設定精靈:「安全性金鑰管理程式設定-節點目標/受損節點名稱」

        註 在提示下輸入客戶的機載金鑰管理通關密碼。如果無法提供通關密碼、請聯絡 "mysupport.netapp.com"
      • 驗證所有驗證金鑰的「RESORED(還原)」欄位是否顯示「yes(是)」:「ecurity key-manager key show -detail(安全金鑰管理程式金鑰顯示-詳細資料)」

      • 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

      • 輸入命令以顯示OKM備份資訊:「安全金鑰管理程式備份顯示」

      • 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

      • 返回管理模式:「et -priv admin」

      • 您可以安全地關閉控制器。

驗證NSE組態

步驟
  1. 顯示儲存在金鑰管理伺服器上驗證金鑰的金鑰ID:「安全金鑰管理程式查詢」

    • 如果「還原」欄顯示「是」、且所有的關鍵經理都顯示「可用」、則關閉受損的控制器是安全的做法。

    • 如果「還原」欄顯示「是」以外的任何內容、或是任何金鑰管理程式顯示「無法使用」、您需要完成一些額外步驟。

    • 如果您看到「啟用內建金鑰管理時、不支援此命令」訊息、您需要完成其他一些步驟

  2. 如果「RESTORED」欄顯示「yes」以外的任何內容、或是有任何金鑰管理程式顯示「unavailable」(無法使用):

    1. 擷取並還原所有驗證金鑰及相關金鑰ID:「安全金鑰管理程式還原-address *」

      如果命令失敗、請聯絡NetApp支援部門。

    1. 驗證所有驗證金鑰的「restored(還原)」欄位是否顯示「yes(是)」、以及所有金鑰管理程式是否顯示「Available(可用)」:「ecurity key-manager query(安全金鑰管理程式查詢)」

    2. 關閉受損的控制器。

  3. 如果您看到「啟用內建金鑰管理時、不支援此命令」訊息、請顯示內建金鑰管理程式中儲存的金鑰:「安全金鑰管理程式金鑰顯示-詳細資料」

    1. 如果「RESTORED」欄顯示「yes」、請手動備份內建金鑰管理資訊:

      • 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

      • 輸入命令以顯示OKM備份資訊:「安全金鑰管理程式備份顯示」

      • 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

      • 返回管理模式:「et -priv admin」

      • 關閉受損的控制器。

    2. 如果「RESTORED」欄顯示「yes」以外的任何內容:

      • 執行金鑰管理程式設定精靈:「安全性金鑰管理程式設定-節點目標/受損節點名稱」

        註 在提示下輸入客戶的OKM密碼。如果無法提供通關密碼、請聯絡 "mysupport.netapp.com"
      • 驗證所有驗證金鑰的「restored」(還原)欄是否顯示「yes」(是):「ecurity key-manager key show -detail(安全金鑰管理程式金鑰顯示-詳細資料)

      • 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

      • 輸入命令以備份OKM資訊:「安全金鑰管理程式備份顯示」

        註 請確定OKM資訊已儲存在記錄檔中。在可能需要手動恢復OKM的災難情況下、將需要這些資訊。
      • 將備份資訊的內容複製到不同的檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

      • 返回管理模式:「et -priv admin」

      • 您可以安全地關閉控制器。

選項2:在執行ONTAP ES9.6及更新版本的系統上、勾選NVE或NSE

在關閉受損的控制器之前、您需要確認系統是否已啟用NetApp Volume Encryption(NVE)或NetApp Storage Encryption(NSE)。如果是、您需要驗證組態。

  1. 驗證叢集中的任何磁碟區是否正在使用NVE:「Volume show -is -Encrypted true(Volume show -is -Encrypted true)」

    如果輸出中列出任何磁碟區、則會設定NVE、您需要驗證NVE組態。如果未列出任何磁碟區、請檢查是否已設定及使用NSE。

  2. 驗證是否已設定NSE並使用:「顯示磁碟加密」

    • 如果命令輸出中列出磁碟機詳細資料及模式與金鑰ID資訊、則NSE已設定完成、您需要驗證NSE組態並使用中。

    • 如果未顯示任何磁碟、則表示未設定NSE。

    • 如果未設定NVE和NSE、則不會有任何磁碟機受到NSE金鑰保護、因此可以安全地關閉受損的控制器。

確認NVE組態

  1. 顯示儲存在金鑰管理伺服器上之驗證金鑰的金鑰 ID : security key-manager key query

    註 發行完發行版不只是發行版的版本、您可能還需要其他的金鑰管理程式類型。ONTAP這些類型包括「KMIP」、「AKV」和「GCP」。確認這些類型的程序與確認「外部」或「內建」金鑰管理程式類型相同。
    • 如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示為「是」、則關閉受損的控制器是安全的做法。

    • 如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示為「yes」、則您需要完成一些額外步驟。

    • 如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。

    • 如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示「yes」以外的任何內容、則您需要完成一些額外步驟。

  2. 如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄顯示「yes(是)」、請手動備份OKM資訊:

    1. 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

    2. 輸入命令以顯示金鑰管理資訊:「安全金鑰管理程式內建show-backup」

    3. 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    4. 返回管理模式:「et -priv admin」

    5. 關閉受損的控制器。

  3. 如果「Key Manager(金鑰管理程式)」類型顯示「external(外部)」、而「restored.(還原)」欄顯示「yes(是)」以外的任何內容:

    1. 將外部金鑰管理驗證金鑰還原至叢集中的所有節點:「安全金鑰管理程式外部還原」

      如果命令失敗、請聯絡NetApp支援部門。

    1. 確認 Restored 欄等於 yes 對於所有驗證金鑰: security key-manager key query

    2. 關閉受損的控制器。

  4. 如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄則顯示「yes(是)」以外的任何內容:

    1. 輸入內建的安全金鑰管理程式同步命令:「安全金鑰管理程式內建同步」

      註 在提示字元處輸入客戶的 32 個字元、英數字元內建金鑰管理密碼。如果無法提供通關密碼、請聯絡NetApp支援部門。 "mysupport.netapp.com"
    2. 驗證 Restored 欄顯示 yes 對於所有驗證金鑰: security key-manager key query

    3. 驗證「Key Manager(金鑰管理程式)」類型是否顯示為「OnBoard(機上)」、然後手動備份OKM資訊。

    4. 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

    5. 輸入命令以顯示金鑰管理備份資訊:「安全金鑰管理程式內建show-backup」

    6. 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    7. 返回管理模式:「et -priv admin」

    8. 您可以安全地關閉控制器。

驗證NSE組態

  1. 顯示儲存在金鑰管理伺服器上之驗證金鑰的金鑰 ID : security key-manager key query -key-type NSE-AK

    註 發行完發行版不只是發行版的版本、您可能還需要其他的金鑰管理程式類型。ONTAP這些類型包括「KMIP」、「AKV」和「GCP」。確認這些類型的程序與確認「外部」或「內建」金鑰管理程式類型相同。
    • 如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示為「是」、則關閉受損的控制器是安全的做法。

    • 如果「金鑰管理程式」類型顯示為「OnBoard」、而「RESTORED」欄顯示為「yes」、則您需要完成一些額外步驟。

    • 如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。

    • 如果「金鑰管理程式」類型顯示為「外部」、而「還原」欄顯示「是」以外的任何內容、則您需要完成一些額外步驟。

  2. 如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄顯示「yes(是)」、請手動備份OKM資訊:

    1. 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

    2. 輸入命令以顯示金鑰管理資訊:「安全金鑰管理程式內建show-backup」

    3. 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    4. 返回管理模式:「et -priv admin」

    5. 您可以安全地關閉控制器。

  3. 如果「Key Manager(金鑰管理程式)」類型顯示「external(外部)」、而「restored.(還原)」欄顯示「yes(是)」以外的任何內容:

    1. 將外部金鑰管理驗證金鑰還原至叢集中的所有節點:「安全金鑰管理程式外部還原」

      如果命令失敗、請聯絡NetApp支援部門。

    1. 確認 Restored 欄等於 yes 對於所有驗證金鑰: security key-manager key query

    2. 您可以安全地關閉控制器。

  4. 如果「Key Manager(金鑰管理程式)」類型顯示為「OnBoard(機上)」、而「RESTORED(還原)」欄則顯示「yes(是)」以外的任何內容:

    1. 輸入內建的安全金鑰管理程式同步命令:「安全金鑰管理程式內建同步」

      在提示字元處輸入客戶的 32 個字元、英數字元內建金鑰管理密碼。如果無法提供通關密碼、請聯絡NetApp支援部門。

    1. 驗證 Restored 欄顯示 yes 對於所有驗證金鑰: security key-manager key query

    2. 驗證「Key Manager(金鑰管理程式)」類型是否顯示為「OnBoard(機上)」、然後手動備份OKM資訊。

    3. 進入進階權限模式、並在提示繼續時輸入「y」:「et -priv進階」

    4. 輸入命令以顯示金鑰管理備份資訊:「安全金鑰管理程式內建show-backup」

    5. 將備份資訊的內容複製到個別檔案或記錄檔。在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    6. 返回管理模式:「et -priv admin」

    7. 您可以安全地關閉控制器。