Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定叢集式外部金鑰伺服器

貢獻者

從ONTAP SVM開始、您可以設定與叢集式外部金鑰管理伺服器的連線。透過叢集式金鑰伺服器、您可以在SVM上指定主要和次要金鑰伺服器。登錄金鑰時ONTAP 、在連續嘗試存取次要伺服器之前、先嘗試存取主要金鑰伺服器、直到作業成功完成為止、以避免金鑰重複。

外部金鑰伺服器可用於NSE、NVE、NAE和SED金鑰。SVM最多可支援四個主要外部KMIP伺服器。每部主要伺服器最多可支援三部次要金鑰伺服器。

開始之前

  • "必須為 SVM 啟用 KMIP 金鑰管理"

  • 此程序僅支援使用KMIP的主要伺服器。如需支援的金鑰伺服器清單、請查看 "NetApp 互通性對照表工具"

  • 叢集中的所有節點都必須執行ONTAP 版本不符合要求的9.11.1或更新版本。

  • 伺服器的順序會列出中的引數 -secondary-key-servers 參數反映外部金鑰管理( KMIP )伺服器的存取順序。

建立叢集式金鑰伺服器

組態程序取決於您是否已設定主要金鑰伺服器。

將主要和次要金鑰伺服器新增至SVM
  1. 確認未啟用叢集的金鑰管理:
    security key-manager external show -vserver svm_name
    如果 SVM 已啟用最多四個主要金鑰伺服器、則必須先移除其中一個現有的主要金鑰伺服器、才能新增新的金鑰伺服器。

  2. 啟用主要金鑰管理程式:
    security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names

  3. 修改主金鑰伺服器以新增次要金鑰伺服器。。 -secondary-key-servers 參數接受最多三個主要伺服器的逗號分隔清單。
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

新增次要金鑰伺服器至現有的主要金鑰伺服器
  1. 修改主金鑰伺服器以新增次要金鑰伺服器。。 -secondary-key-servers 參數接受最多三個主要伺服器的逗號分隔清單。
    security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
    如需次要金鑰伺服器的詳細資訊、請參閱 [mod-secondary]

修改叢集式金鑰伺服器

您可以變更特定金鑰伺服器的狀態(主要或次要)、新增及移除次要金鑰伺服器、或變更次要金鑰伺服器的存取順序、來修改外部金鑰伺服器叢集。

轉換主要和次要金鑰伺服器

若要將主要金鑰伺服器轉換為次要金鑰伺服器、您必須先使用將其從 SVM 中移除 security key-manager external remove-servers 命令。

若要將次要金鑰伺服器轉換成主要金鑰伺服器、您必須先從現有的主要金鑰伺服器移除次要金鑰伺服器。請參閱 [mod-secondary]。如果您在移除現有金鑰時將次要金鑰伺服器轉換為主要伺服器、在完成移除和轉換之前嘗試新增伺服器可能會導致金鑰重複。

修改次要金鑰伺服器

次要金鑰伺服器是使用管理 -secondary-key-servers 的參數 security key-manager external modify-server 命令。。 -secondary-key-servers 參數接受以逗號分隔的清單。清單中次要金鑰伺服器的指定順序決定次要金鑰伺服器的存取順序。您可以執行命令來修改存取順序 security key-manager external modify-server 以不同順序輸入次要金鑰伺服器。

若要移除次要金鑰伺服器、請使用 -secondary-key-servers 引數應包含您想要保留的主要伺服器、同時省略要移除的伺服器。若要移除所有次要金鑰伺服器、請使用引數 `-`表示沒有。

如需其他資訊、請參閱 security key-manager external 頁面 "指令參考資料ONTAP"