Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在支援外部金鑰管理ONTAP 的過程中、請使用支援更新版本的版本

貢獻者

您可以使用一或多個KMIP伺服器來保護叢集用來存取加密資料的金鑰。您最多可將四個KMIP伺服器連線至一個節點。建議至少使用兩部伺服器來進行備援和災難恢復。

關於這項工作

可為叢集中的所有節點設定KMIP伺服器連線。ONTAP

開始之前
  • KMIP SSL用戶端和伺服器憑證必須已安裝。

  • 您必須是叢集管理員才能執行此工作。

  • 在設定外部金鑰管理程式之前、您必須先設定MetroCluster 此解決方案。

  • 在 MetroCluster 環境中、您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。

步驟
  1. 設定叢集節點的金鑰管理程式連線:

    security key-manager setup

    金鑰管理程式設定隨即開始。

    註 在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。
  2. 在每個提示字元輸入適當的回應。

  3. 新增KMIP伺服器:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.1
    註 在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。
  4. 新增額外的KMIP伺服器以提供備援:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.2
    註 在這個不支援的環境中、您必須在兩個叢集上執行此命令MetroCluster 。
  5. 確認所有已設定的KMIP伺服器均已連線:

    security key-manager show -status

    如需完整的命令語法、請參閱手冊頁。

    cluster1::> security key-manager show -status
    
    Node            Port      Registered Key Manager  Status
    --------------  ----      ----------------------  ---------------
    cluster1-01     5696      20.1.1.1                available
    cluster1-01     5696      20.1.1.2                available
    cluster1-02     5696      20.1.1.1                available
    cluster1-02     5696      20.1.1.2                available
  6. 也可以將純文字磁碟區轉換為加密磁碟區。

    volume encryption conversion start

    在轉換磁碟區之前、必須先完整設定外部金鑰管理程式。在 MetroCluster 環境中、必須在兩個站台上設定外部金鑰管理員。