版本資訊
在ONTAP 支援外部金鑰管理的情況下、於支援內部金鑰(硬體型)9.6及更新版本
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
您可以使用一或多個KMIP伺服器來保護叢集用來存取加密資料的金鑰。您最多可將四個KMIP伺服器連線至一個節點。建議至少使用兩部伺服器來進行備援和災難恢復。
從 ONTAP 9.11.1 開始、每個主要金鑰伺服器最多可新增 3 個次要金鑰伺服器、以建立叢集金鑰伺服器。如需詳細資訊、請參閱 設定叢集式外部金鑰伺服器。
-
KMIP SSL用戶端和伺服器憑證必須已安裝。
-
您必須是叢集管理員才能執行此工作。
-
在設定外部金鑰管理程式之前、您必須先設定MetroCluster 此解決方案。
-
在 MetroCluster 環境中、您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。
-
設定叢集的金鑰管理程式連線:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
-
命令會 `security key-manager external enable`取代 `security key-manager setup`命令。您可以執行 `security key-manager external modify`命令來變更外部金鑰管理組態。如"指令參考資料ONTAP"需詳細 `security key-manager external enable`資訊,請參閱。
-
在支援管理SVM的環境中、如果您要設定外部金鑰管理、則必須重複執行MetroCluster
security key-manager external enable合作夥伴叢集上的命令。
下列命令可啟用的外部金鑰管理
cluster1使用三個外部金鑰伺服器。第一個金鑰伺服器是使用其主機名稱和連接埠來指定、第二個金鑰伺服器是使用IP位址和預設連接埠來指定、第三個金鑰伺服器則是使用IPv6位址和連接埠來指定:clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
確認所有已設定的KMIP伺服器均已連線:
security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown
命令會 `security key-manager external show-status`取代 `security key-manager show -status`命令。如"指令參考資料ONTAP"需詳細 `security key-manager external show-status`資訊,請參閱。
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 6 entries were displayed.
