在 ONTAP 中設定叢集式外部金鑰伺服器
從ONTAP SVM開始、您可以設定與叢集式外部金鑰管理伺服器的連線。透過叢集式金鑰伺服器、您可以在SVM上指定主要和次要金鑰伺服器。登錄金鑰時ONTAP 、在連續嘗試存取次要伺服器之前、先嘗試存取主要金鑰伺服器、直到作業成功完成為止、以避免金鑰重複。
外部金鑰伺服器可用於NSE、NVE、NAE和SED金鑰。SVM最多可支援四個主要外部KMIP伺服器。每部主要伺服器最多可支援三部次要金鑰伺服器。
開始之前
-
此程序僅支援使用KMIP的主要伺服器。如需支援的金鑰伺服器清單、請查看 "NetApp 互通性對照表工具"。
-
叢集中的所有節點都必須執行ONTAP 版本不符合要求的9.11.1或更新版本。
-
伺服器的順序會列出中的引數
-secondary-key-servers
參數反映外部金鑰管理( KMIP )伺服器的存取順序。 -
如需更多關於本程序中所述命令的資訊,請參閱"ONTAP 命令參照。"
建立叢集式金鑰伺服器
組態程序取決於您是否已設定主要金鑰伺服器。
-
確認未啟用叢集的金鑰管理:
security key-manager external show -vserver svm_name
如果 SVM 已啟用最多四個主要金鑰伺服器、則必須先移除其中一個現有的主要金鑰伺服器、才能新增新的金鑰伺服器。 -
啟用主要金鑰管理程式:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
-
修改主金鑰伺服器以新增次要金鑰伺服器。。
-secondary-key-servers
參數接受最多三個主要伺服器的逗號分隔清單。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
修改主金鑰伺服器以新增次要金鑰伺服器。。
-secondary-key-servers
參數接受最多三個主要伺服器的逗號分隔清單。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
如需次要金鑰伺服器的詳細資訊、請參閱 [mod-secondary]。
修改叢集式金鑰伺服器
您可以變更特定金鑰伺服器的狀態(主要或次要)、新增及移除次要金鑰伺服器、或變更次要金鑰伺服器的存取順序、來修改外部金鑰伺服器叢集。
轉換主要和次要金鑰伺服器
若要將主要金鑰伺服器轉換為次要金鑰伺服器、您必須先使用將其從 SVM 中移除 security key-manager external remove-servers
命令。
若要將次要金鑰伺服器轉換成主要金鑰伺服器、您必須先從現有的主要金鑰伺服器移除次要金鑰伺服器。請參閱 [mod-secondary]。如果您在移除現有金鑰時將次要金鑰伺服器轉換為主要伺服器、在完成移除和轉換之前嘗試新增伺服器可能會導致金鑰重複。
修改次要金鑰伺服器
次要金鑰伺服器是使用管理 -secondary-key-servers
的參數 security key-manager external modify-server
命令。。 -secondary-key-servers
參數接受以逗號分隔的清單。清單中次要金鑰伺服器的指定順序決定次要金鑰伺服器的存取順序。您可以執行命令來修改存取順序 security key-manager external modify-server
以不同順序輸入次要金鑰伺服器。
若要移除次要金鑰伺服器、請使用 -secondary-key-servers
引數應包含您想要保留的主要伺服器、同時省略要移除的伺服器。若要移除所有次要金鑰伺服器、請使用引數 `-`表示沒有。
深入瞭解 ONTAP 命令參照中的連結: https://docs 。 NetApp 。 ONTAP - CLI/^][`security key-manager external`命令。