Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 ONTAP 中設定叢集式外部金鑰伺服器

貢獻者 netapp-aoife netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell
PDF

從ONTAP 9.11.1 開始,您可以在 SVM 上設定與叢集外部金鑰管理伺服器的連線。使用叢集金鑰伺服器,您可以在 SVM 上指定主金鑰伺服器和輔助金鑰伺服器。註冊或檢索金鑰時, ONTAP首先嘗試存取主密鑰伺服器,然後依序嘗試存取輔助伺服器,直到操作成功完成。

您可以使用外部金鑰伺服器來取得NetApp儲存加密 (NSE)、 NetApp磁碟區加密 (NVE) 和NetApp聚合加密 (NAE) 金鑰。一個 SVM 最多可以支援四個主外部 KMIP 伺服器。每個主伺服器最多可支援三個輔助密鑰伺服器。

關於這項工作
開始之前

  • "必須為 SVM 啟用 KMIP 金鑰管理"

  • 叢集中的所有節點都必須執行ONTAP 版本不符合要求的9.11.1或更新版本。

  • 伺服器的排列順序 `-secondary-key-servers`此參數反映了外部金鑰管理(KMIP)伺服器的存取順序。

建立叢集式金鑰伺服器

組態程序取決於您是否已設定主要金鑰伺服器。

將主要和次要金鑰伺服器新增至SVM
步驟

  1. 確認叢集(admin SVM)未啟用任何金鑰管理功能:

    security key-manager external show -vserver <svm_name>

    如果 SVM 已啟用最多四個主金鑰伺服器,則必須先刪除一個現有的主金鑰伺服器,然後再新增新的主金鑰伺服器。

  2. 啟用主密鑰管理器:

    security key-manager external enable -vserver <svm_name> -key-servers <primary_key_server_ip> -client-cert <client_cert_name> -server-ca-certs <server_ca_cert_names>

    • 如果您沒有在參數中指定端口, `-key-servers`如果使用參數,則預設使用連接埠 5696。

      註 如果你正在運行 `security key-manager external enable`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。 NetApp強烈建議在兩個叢集上使用相同的金鑰伺服器。

  3. 修改主密鑰伺服器,新增輔助密鑰伺服器。這 `-secondary-key-servers`此參數接受一個以逗號分隔的列表,最多可包含三個金鑰伺服器:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • 請勿在輔助密鑰伺服器中包含連接埠號碼。 `-secondary-key-servers`範圍。它使用與主密鑰伺服器相同的連接埠號碼。

      註 如果你正在運行 `security key-manager external`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。 NetApp強烈建議在兩個叢集上使用相同的金鑰伺服器。
新增次要金鑰伺服器至現有的主要金鑰伺服器
步驟

  1. 修改主密鑰伺服器,新增輔助密鑰伺服器。這 `-secondary-key-servers`此參數接受一個以逗號分隔的列表,最多可包含三個金鑰伺服器:

    security key-manager external modify-server -vserver <svm_name> -key-servers <primary_key_server> -secondary-key-servers <list_of_key_servers>

    • 請勿在輔助密鑰伺服器中包含連接埠號碼。 `-secondary-key-servers`範圍。它使用與主密鑰伺服器相同的連接埠號碼。

      註 如果你正在運行 `security key-manager external modify-server`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。 NetApp強烈建議在兩個叢集上使用相同的金鑰伺服器。

有關輔助密鑰伺服器的更多信息,請參閱 [mod-secondary]

修改叢集式金鑰伺服器

您可以透過新增和刪除輔助金鑰伺服器、變更輔助金鑰伺服器的存取順序或變更特定金鑰伺服器的指定(主金鑰伺服器或輔助金鑰伺服器)來修改叢集外部金鑰伺服器。如果在MetroCluster配置中修改叢集外部金鑰伺服器, NetApp強烈建議在兩個叢集上使用相同的金鑰伺服器。

修改次要金鑰伺服器

使用 security key-manager external modify-server 指令的 -secondary-key-servers 參數來管理次要金鑰伺服器。這 -secondary-key-servers 參數接受以逗號分隔的清單。清單中輔助密鑰伺服器的指定順序決定了輔助密鑰伺服器的存取順序。您可以透過執行指令 security key-manager external modify-server,並以不同順序輸入次要金鑰伺服器,來修改存取順序。輔助密鑰伺服器無需提供連接埠號碼。

註 如果你正在運行 `security key-manager external modify-server`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。

若要移除輔助密鑰伺服器,請將要保留的密鑰伺服器新增至清單中。 `-secondary-key-servers`參數,並省略要刪除的參數。若要刪除所有輔助密鑰伺服器,請使用下列參數 `-`表示無。

轉換主要和次要金鑰伺服器

您可以使用下列步驟變更特定金鑰伺服器的指定(主金鑰伺服器或輔助金鑰伺服器)。

將主密鑰伺服器轉換為輔助密鑰伺服器
步驟

  1. 從SVM中移除主密鑰伺服器:

    security key-manager external remove-servers

    註 如果你正在運行 `security key-manager external remove-servers`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。

  2. 執行建立叢集式金鑰伺服器使用原主密鑰伺服器作為輔助密鑰伺服器進行此程序。

將輔助金鑰伺服器轉換為主金鑰伺服器
步驟

  1. 從現有的主密鑰伺服器移除輔助密鑰伺服器:

    security key-manager external modify-server -secondary-key-servers

  • 如果你正在運行 `security key-manager external modify-server -secondary-key-servers`對於MetroCluster配置中的管理 SVM 指令,必須在兩個叢集上執行此命令。如果你要為單一資料 SVM 執行命令,則無需在兩個叢集上執行該命令。

  • 如果在刪除現有密鑰伺服器的同時將輔助密鑰伺服器轉換為主密鑰伺服器,則在完成刪除和轉換之前嘗試新增新的密鑰伺服器可能會導緻密鑰重複。

  1. 執行建立叢集式金鑰伺服器使用原輔助金鑰伺服器作為新叢集金鑰伺服器的主金鑰伺服器進行此程序。

請參閱[mod-secondary]了解更多。

相關資訊