在ONTAP 9.6 及更高版本中為 NVE 啟用外部金鑰管理
建議變更
PDF
使用 KMIP 伺服器來保護叢集用於存取加密資料的金鑰。從ONTAP 9.6 開始,您可以選擇配置單獨的外部金鑰管理器來保護資料 SVM 用於存取加密資料的金鑰。
從 ONTAP 9.11.1 開始、每個主要金鑰伺服器最多可新增 3 個次要金鑰伺服器、以建立叢集金鑰伺服器。如需詳細資訊、請參閱 設定叢集式外部金鑰伺服器。
您最多可以將四個 KMIP 伺服器連接到叢集或 SVM。使用至少兩台伺服器以實現冗餘和災難復原。
外部金鑰管理的範圍決定了金鑰管理伺服器是保護叢集中的所有SVM、還是僅保護選取的SVM:
-
您可以使用_叢集範圍_來設定叢集中所有SVM的外部金鑰管理。叢集管理員可以存取儲存在伺服器上的每個金鑰。
-
從ONTAP 功能表9.6開始、您可以使用_SVM範圍來設定叢集中資料SVM的外部金鑰管理。這最適合多租戶環境、每個租戶使用不同的SVM(或一組SVM)來提供資料。只有特定租戶的SVM管理員可以存取該租戶的金鑰。
-
對於多租戶環境、請使用下列命令安裝_MT_EK-Mgmt_的授權:
system license add -license-code <MT_EK_MGMT license code>如"指令參考資料ONTAP"需詳細 `system license add`資訊,請參閱。
您可以在同一個叢集中使用這兩個範圍。如果SVM已設定金鑰管理伺服器、ONTAP 則僅使用這些伺服器來保護金鑰。否則ONTAP 、利用為叢集設定的金鑰管理伺服器來保護金鑰。
您可以在叢集範圍設定內建金鑰管理、並在SVM範圍設定外部金鑰管理。您可以使用 security key-manager key migrate 命令將金鑰從叢集範圍內的機載金鑰管理移轉至 SVM 範圍內的外部金鑰管理程式。
如"指令參考資料ONTAP"需詳細 `security key-manager key migrate`資訊,請參閱。
-
KMIP SSL用戶端和伺服器憑證必須已安裝。
-
您必須是叢集或SVM管理員、才能執行此工作。
-
在MetroCluster環境中:
-
在啟用外部金鑰管理之前,必須完全配置MetroCluster 。
-
您必須在兩個叢集上安裝相同的 KMIP SSL 憑證。
-
必須在兩個叢集上配置外部密鑰管理器。
-
-
設定叢集的金鑰管理程式連線:
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
這 `security key-manager external enable`命令替換 `security key-manager setup`命令。如果在叢集登入提示字元下執行該命令, `admin_SVM`預設為目前叢集的管理 SVM。您可以運行 `security key-manager external modify`命令來更改外部密鑰管理配置。 下列命令可啟用的外部金鑰管理
cluster1使用三個外部金鑰伺服器。第一個金鑰伺服器是使用其主機名稱和連接埠來指定、第二個金鑰伺服器是使用IP位址和預設連接埠來指定、第三個金鑰伺服器則是使用IPv6位址和連接埠來指定:clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
設定SVM的金鑰管理程式:
security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
如果在 SVM 登入提示字元下執行該命令, `SVM`預設為當前 SVM。您可以運行 `security key-manager external modify`命令來更改外部密鑰管理配置。
-
在支援資料SVM的環境中、如果您要設定外部金鑰管理、就不需要重複執行MetroCluster
security key-manager external enable合作夥伴叢集上的命令。
下列命令可啟用的外部金鑰管理
svm1使用單一金鑰伺服器聆聽預設連接埠 5696 :svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
-
-
針對任何其他SVM重複最後一個步驟。
您也可以使用 `security key-manager external add-servers`命令來設定其他 SVM 。命令會 `security key-manager external add-servers`取代 `security key-manager add`命令。如"指令參考資料ONTAP"需詳細 `security key-manager external add-servers`資訊,請參閱。
-
確認所有已設定的KMIP伺服器均已連線:
security key-manager external show-status -node node_name
命令會 `security key-manager external show-status`取代 `security key-manager show -status`命令。如"指令參考資料ONTAP"需詳細 `security key-manager external show-status`資訊,請參閱。
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 8 entries were displayed. -
也可以將純文字磁碟區轉換為加密磁碟區。
volume encryption conversion start在轉換磁碟區之前,必須完全設定外部金鑰管理員。