Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在ONTAP 支援外部金鑰管理的過程中、於支援內部金鑰管理功能的版本(NVE)

貢獻者
PDF

您可以使用一或多個KMIP伺服器來保護叢集用來存取加密資料的金鑰。從功能支援支援的9.6開始ONTAP 、您可以選擇設定獨立的外部金鑰管理程式、以保護資料SVM用來存取加密資料的金鑰。

從 ONTAP 9.11.1 開始、每個主要金鑰伺服器最多可新增 3 個次要金鑰伺服器、以建立叢集金鑰伺服器。如需詳細資訊、請參閱 設定叢集式外部金鑰伺服器

關於這項工作

您最多可將四個KMIP伺服器連線至叢集或SVM。建議至少使用兩部伺服器來進行備援和災難恢復。

外部金鑰管理的範圍決定了金鑰管理伺服器是保護叢集中的所有SVM、還是僅保護選取的SVM:

  • 您可以使用_叢集範圍_來設定叢集中所有SVM的外部金鑰管理。叢集管理員可以存取儲存在伺服器上的每個金鑰。

  • 從ONTAP 功能表9.6開始、您可以使用_SVM範圍來設定叢集中資料SVM的外部金鑰管理。這最適合多租戶環境、每個租戶使用不同的SVM(或一組SVM)來提供資料。只有特定租戶的SVM管理員可以存取該租戶的金鑰。

  • 對於多租戶環境、請使用下列命令安裝_MT_EK-Mgmt_的授權:

    system license add -license-code <MT_EK_MGMT license code>

    如需完整的命令語法、請參閱命令的手冊頁。

您可以在同一個叢集中使用這兩個範圍。如果SVM已設定金鑰管理伺服器、ONTAP 則僅使用這些伺服器來保護金鑰。否則ONTAP 、利用為叢集設定的金鑰管理伺服器來保護金鑰。

您可以在叢集範圍設定內建金鑰管理、並在SVM範圍設定外部金鑰管理。您可以使用 security key-manager key migrate 命令將金鑰從叢集範圍內的機載金鑰管理移轉至 SVM 範圍內的外部金鑰管理程式。

開始之前

  • KMIP SSL用戶端和伺服器憑證必須已安裝。

  • 您必須是叢集或SVM管理員、才能執行此工作。

  • 如果您想要啟用MetroCluster 外部金鑰管理功能來管理整個環境、MetroCluster 則必須先完整設定好、才能啟用外部金鑰管理。

  • 在 MetroCluster 環境中、您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。

步驟

  1. 設定叢集的金鑰管理程式連線:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    註

    • security key-manager external enable 命令會取代 security key-manager setup 命令。如果您在叢集登入提示字元中執行命令、 admin_SVM 預設為目前叢集的管理SVM。 您必須是叢集管理員、才能設定叢集範圍。您可以執行 security key-manager external modify 命令以變更外部金鑰管理組態。

    • 在支援管理SVM的環境中、如果您要設定外部金鑰管理、則必須重複執行MetroCluster security key-manager external enable 合作夥伴叢集上的命令。

    下列命令可啟用的外部金鑰管理 cluster1 使用三個外部金鑰伺服器。第一個金鑰伺服器是使用其主機名稱和連接埠來指定、第二個金鑰伺服器是使用IP位址和預設連接埠來指定、第三個金鑰伺服器則是使用IPv6位址和連接埠來指定:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. 設定SVM的金鑰管理程式:

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    註

    • 如果您在 SVM 登入提示字元下執行命令、 SVM 預設為目前的 SVM 。 您必須是叢集或SVM管理員、才能設定SVM範圍。您可以執行 security key-manager external modify 命令以變更外部金鑰管理組態。

    • 在支援資料SVM的環境中、如果您要設定外部金鑰管理、就不需要重複執行MetroCluster security key-manager external enable 合作夥伴叢集上的命令。

    下列命令可啟用的外部金鑰管理 svm1 使用單一金鑰伺服器聆聽預設連接埠 5696 :

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. 針對任何其他SVM重複最後一個步驟。

    註

    您也可以使用 security key-manager external add-servers 用於設定其他 SVM 的命令。。 security key-manager external add-servers 命令會取代 security key-manager add 命令。如需完整的命令語法、請參閱手冊頁。

  4. 確認所有已設定的KMIP伺服器均已連線:

    security key-manager external show-status -node node_name

    註

    security key-manager external show-status 命令會取代 security key-manager show -status 命令。如需完整的命令語法、請參閱手冊頁。

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. 也可以將純文字磁碟區轉換為加密磁碟區。

    volume encryption conversion start

    在轉換磁碟區之前、必須先完整設定外部金鑰管理程式。在 MetroCluster 環境中、必須在兩個站台上設定外部金鑰管理員。