在ONTAP 支援外部金鑰管理的情況下、於支援內部金鑰(硬體型)9.6及更新版本
建議變更
PDF
您可以使用一或多個KMIP伺服器來保護叢集用來存取加密資料的金鑰。您最多可將四個KMIP伺服器連線至一個節點。建議至少使用兩部伺服器來進行備援和災難恢復。
從ONTAP 功能性的9.11.1開始、您可以在每個主金鑰伺服器上新增最多3個次要金鑰伺服器、以建立叢集式金鑰伺服器。如需詳細資訊、請參閱 設定叢集式外部金鑰伺服器。
-
KMIP SSL用戶端和伺服器憑證必須已安裝。
-
您必須是叢集管理員才能執行此工作。
-
在設定外部金鑰管理程式之前、您必須先設定MetroCluster 此解決方案。
-
在 MetroCluster 環境中、您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。
-
設定叢集的金鑰管理程式連線:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
-
。
security key-manager external enable命令會取代security key-manager setup命令。您可以執行security key-manager external modify命令以變更外部金鑰管理組態。如需完整的命令語法、請參閱手冊頁。 -
在支援管理SVM的環境中、如果您要設定外部金鑰管理、則必須重複執行MetroCluster
security key-manager external enable合作夥伴叢集上的命令。
下列命令可啟用的外部金鑰管理
cluster1使用三個外部金鑰伺服器。第一個金鑰伺服器是使用其主機名稱和連接埠來指定、第二個金鑰伺服器是使用IP位址和預設連接埠來指定、第三個金鑰伺服器則是使用IPv6位址和連接埠來指定:clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
確認所有已設定的KMIP伺服器均已連線:
security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown
。
security key-manager external show-status命令會取代security key-manager show -status命令。如需完整的命令語法、請參閱手冊頁。cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 6 entries were displayed.