啟用更新版本的更新版本ONTAP
建議變更
PDF
您可以使用Onboard Key Manager驗證FIPS磁碟機或SED的叢集節點。內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。Onboard Key Manager符合FIPS-140-2第1級標準。
您可以使用板載金鑰管理器來保護叢集用於存取加密資料的金鑰。在存取加密磁碟區或自加密磁碟的每個叢集上啟用板載金鑰管理器。
您必須執行 security key-manager setup 每次將節點新增至叢集時的命令。
如果您使用MetroCluster 的是「不確定」組態、請參閱下列準則:
-
在 ONTAP 9.5 中、您必須執行
security key-manager setup在本機叢集和上security key-manager setup -sync-metrocluster-config yes在遠端叢集上、使用相同的複雜密碼。 -
在 ONTAP 9.5 之前、您必須執行
security key-manager setup在本機叢集上、等待大約 20 秒、然後執行security key-manager setup在遠端叢集上、使用相同的複雜密碼。
根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。從 ONTAP 9.4 開始、您可以使用 -enable-cc-mode yes 選項要求使用者在重新開機後輸入複雜密碼。
如果您已設定、則適用於 NVE -enable-cc-mode yes、您使用建立的磁碟區 volume create 和 volume move start 命令會自動加密。適用於 volume create,您不需要指定 -encrypt true。適用於 volume move start,您不需要指定 -encrypt-destination true。
|
密碼嘗試失敗後、您必須重新啟動節點。 |
-
如果您將 NSE 與外部金鑰管理 (KMIP) 伺服器一起使用,請刪除外部金鑰管理器資料庫。
-
您必須是叢集管理員才能執行此工作。
-
在配置板載金鑰管理器之前,請先配置MetroCluster環境。
-
啟動金鑰管理程式設定:
security key-manager setup -enable-cc-mode yes|no
從 ONTAP 9.4 開始、您可以使用 -enable-cc-mode yes此選項可要求使用者在重新開機後輸入金鑰管理密碼。如果您已設定、則適用於 NVE-enable-cc-mode yes、您使用建立的磁碟區volume create和volume move start命令會自動加密。下列範例會在叢集1上開始設定金鑰管理程式、而不要求在每次重新開機後輸入通關密碼:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
輸入
yes在提示下設定內建金鑰管理。 -
在通關密碼提示字元中、輸入32到256個字元之間的通關密碼、或輸入「'cc-mode'」(64到256個字元之間的通關密碼)。
如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。 -
在通關密碼確認提示下、重新輸入通關密碼。
-
驗證是否已為所有節點設定金鑰:
security key-manager show-key-store詳細了解 `security key-manager show-key-store`在"指令參考資料ONTAP"。
cluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
ONTAP會自動將金鑰管理資訊備份到叢集的複製資料庫 (RDB)。
設定板載金鑰管理器密碼後,請手動將資訊備份到儲存系統外部的安全位置。看"手動備份內建金鑰管理資訊"。