本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
在 ONTAP 9 或更早版本(硬體型)中啟用外部金鑰管理
貢獻者
建議變更
PDF
您可以使用一或多個KMIP伺服器來保護叢集用來存取加密資料的金鑰。您最多可將四個KMIP伺服器連線至一個節點。建議至少使用兩部伺服器來進行備援和災難恢復。
關於這項工作
可為叢集中的所有節點設定KMIP伺服器連線。ONTAP
開始之前
-
KMIP SSL用戶端和伺服器憑證必須已安裝。
-
您必須是叢集管理員才能執行此工作。
-
在設定外部金鑰管理程式之前、您必須先設定MetroCluster 此解決方案。
-
在 MetroCluster 環境中、您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。
步驟
-
設定叢集節點的金鑰管理程式連線:
security key-manager setup金鑰管理程式設定隨即開始。
在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。 -
在每個提示字元輸入適當的回應。
-
新增KMIP伺服器:
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.1
在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。 -
新增額外的KMIP伺服器以提供備援:
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.2
在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。 -
確認所有已設定的KMIP伺服器均已連線:
security key-manager show -status如需完整的命令語法、請參閱手冊頁。
cluster1::> security key-manager show -status Node Port Registered Key Manager Status -------------- ---- ---------------------- --------------- cluster1-01 5696 20.1.1.1 available cluster1-01 5696 20.1.1.2 available cluster1-02 5696 20.1.1.1 available cluster1-02 5696 20.1.1.2 available
-
也可以將純文字磁碟區轉換為加密磁碟區。
volume encryption conversion start在轉換磁碟區之前、必須先完整設定外部金鑰管理程式。在 MetroCluster 環境中、必須在兩個站台上設定外部金鑰管理員。