Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用更新版本的更新版本ONTAP

貢獻者
PDF

您可以使用Onboard Key Manager驗證FIPS磁碟機或SED的叢集節點。內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。Onboard Key Manager符合FIPS-140-2第1級標準。

您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在每個存取加密磁碟區或自我加密磁碟的叢集上啟用Onboard Key Manager。

關於這項工作

您必須執行 security key-manager setup 每次將節點新增至叢集時的命令。

如果您使用MetroCluster 的是「不確定」組態、請參閱下列準則:

  • 在 ONTAP 9.5 中、您必須執行 security key-manager setup 在本機叢集和上 security key-manager setup -sync-metrocluster-config yes 在遠端叢集上、使用相同的複雜密碼。

  • 在 ONTAP 9.5 之前、您必須執行 security key-manager setup 在本機叢集上、等待大約 20 秒、然後執行 security key-manager setup 在遠端叢集上、使用相同的複雜密碼。

根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。從 ONTAP 9.4 開始、您可以使用 -enable-cc-mode yes 選項要求使用者在重新開機後輸入複雜密碼。

如果您已設定、則適用於 NVE -enable-cc-mode yes、您使用建立的磁碟區 volume createvolume move start 命令會自動加密。適用於 volume create,您不需要指定 -encrypt true。適用於 volume move start,您不需要指定 -encrypt-destination true

註 密碼嘗試失敗後、您必須重新啟動節點。
開始之前

  • 如果您使用NSE搭配外部金鑰管理(KMIP)伺服器、則必須刪除外部金鑰管理程式資料庫。

    "從外部金鑰管理移轉至內建金鑰管理"

  • 您必須是叢集管理員才能執行此工作。

  • 設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。

步驟

  1. 啟動金鑰管理程式設定:

    security key-manager setup -enable-cc-mode yes|no

    註 從 ONTAP 9.4 開始、您可以使用 -enable-cc-mode yes 此選項可要求使用者在重新開機後輸入金鑰管理密碼。如果您已設定、則適用於 NVE -enable-cc-mode yes、您使用建立的磁碟區 volume createvolume move start 命令會自動加密。

    下列範例會在叢集1上開始設定金鑰管理程式、而不要求在每次重新開機後輸入通關密碼:

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 輸入 yes 在提示下設定內建金鑰管理。

  3. 在通關密碼提示字元中、輸入32到256個字元之間的通關密碼、或輸入「'cc-mode'」(64到256個字元之間的通關密碼)。

    註 如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。

  4. 在通關密碼確認提示下、重新輸入通關密碼。

  5. 驗證是否已為所有節點設定金鑰:

    security key-manager key show

    如需完整的命令語法、請參閱手冊頁。

    cluster1::> security key-manager key show

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
完成後

所有的金鑰管理資訊都會自動備份到叢集的複寫資料庫(RDB)。

每當您設定Onboard Key Manager複雜密碼時、也應該手動將資訊備份到儲存系統外部的安全位置、以便在發生災難時使用。請參閱 "手動備份內建金鑰管理資訊"