在ONTAP 9.6 及更高版本中啟用 NVE 的板載金鑰管理
建議變更
PDF
您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在存取加密磁碟區或自我加密磁碟的每個叢集上啟用 Onboard Key Manager 。
您必須執行 security key-manager onboard sync 每次將節點新增至叢集時的命令。
如果您有 MetroCluster 組態、則必須執行 security key-manager onboard enable 命令先在本機叢集上執行、然後執行 security key-manager onboard sync 在遠端叢集上使用相同密碼的命令。當您執行時 security key-manager onboard enable 本機叢集的命令、然後在遠端叢集上進行同步處理、您不需要執行 enable 從遠端叢集再次執行命令。
詳細了解 `security key-manager onboard enable`和 `security key-manager onboard sync`在"指令參考資料ONTAP"。
根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。您可以使用 cc-mode-enabled=yes 選項要求使用者在重新開機後輸入複雜密碼。
如果您已設定、則適用於 NVE cc-mode-enabled=yes、您使用建立的磁碟區 volume create 和 volume move start 命令會自動加密。適用於 volume create,您不需要指定 -encrypt true。適用於 volume move start,您不需要指定 -encrypt-destination true。
在設定ONTAP資料加密時,為了滿足商業機密解決方案 (CSfC) 的要求,您必須將 NSE 與 NVE 一起使用,並確保在通用標準模式下啟用板載金鑰管理員。看"CSfC解決方案簡介"。
|
當「內建金鑰管理程式」在「一般條件」模式中啟用時 (
|
|
|
板載密鑰管理器將密鑰儲存在揮發性記憶體中。當系統重新啟動或停止時,揮發性記憶體的內容將會被清除。系統停止後 30 秒內清除揮發性記憶體。 |
-
您必須是叢集管理員才能執行此工作。
-
在設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。
-
啟動金鑰管理程式設定:
security key-manager onboard enable -cc-mode-enabled yes|no
設定
cc-mode-enabled=yes要求使用者在重新開機後輸入金鑰管理密碼。如果您已設定、則適用於 NVEcc-mode-enabled=yes、您使用建立的磁碟區volume create和volume move start命令會自動加密。。- cc-mode-enabledMetroCluster 組態不支援此選項。 。security key-manager onboard enable命令會取代security key-manager setup命令。 -
輸入一個介於 32 到 256 個字元之間的密碼,或對於“
cc-mode”,輸入一個介於 64 到 256 個字元之間的密碼。
如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。
-
在通關密碼確認提示下、重新輸入通關密碼。
-
確認已建立驗證金鑰:
security key-manager key query -key-type NSE-AK
命令會 `security key-manager key query`取代 `security key-manager query key`命令。
如"指令參考資料ONTAP"需詳細 `security key-manager key query`資訊,請參閱。
-
您可以選擇將純文字磁碟區轉換為加密磁碟區。
volume encryption conversion start在轉換磁碟區之前、必須先完整設定 Onboard Key Manager 。在 MetroCluster 環境中、兩個站台都必須設定內建金鑰管理員。
將通關密碼複製到儲存系統外部的安全位置、以供未來使用。
配置板載金鑰管理器密碼後,手動將資訊備份到儲存系統外部的安全位置。看"手動備份內建金鑰管理資訊"。