Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在現有磁碟區上啟用加密

貢獻者
PDF

您可以使用 volume move startvolume encryption conversion start 在現有磁碟區上啟用加密的命令。

關於這項工作

  • 從功能介紹9.3開始ONTAP 、您可以使用 volume encryption conversion start 命令可「就地」加密現有的磁碟區、而無需將磁碟區移至其他位置。或者、您也可以使用 volume move start 命令。

  • 對於 ONTAP 9.2 及更早版本、您只能使用 volume move start 命令、可透過移動現有磁碟區來啟用加密。

使用Volume Encryption Conversion start命令、在現有磁碟區上啟用加密

從功能介紹9.3開始ONTAP 、您可以使用 volume encryption conversion start 命令可「就地」加密現有的磁碟區、而無需將磁碟區移至其他位置。

在您開始轉換作業之後、必須完成此作業。如果您在作業期間遇到效能問題、可以執行 volume encryption conversion pause 暫停作業的命令、以及 volume encryption conversion resume 命令以恢復作業。

註 您無法使用 volume encryption conversion start 轉換 SnapLock Volume 。
步驟

  1. 在現有磁碟區上啟用加密:

    volume encryption conversion start -vserver SVM_name -volume volume_name

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令可在現有磁碟區上啟用加密 vol1

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    系統會為磁碟區建立加密金鑰。磁碟區上的資料已加密。

  2. 確認轉換作業的狀態:

    volume encryption conversion show

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令會顯示轉換作業的狀態:

    cluster1::> volume encryption conversion show

Vserver   Volume   Start Time           Status
-------   ------   ------------------   ---------------------------
vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.

  3. 轉換作業完成後、請確認磁碟區已啟用加密功能:

    volume show -is-encrypted true

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令會顯示上的加密磁碟區 cluster1

    cluster1::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

如果您使用KMIP伺服器來儲存節點的加密金鑰、ONTAP 則當您加密磁碟區時、會自動將加密金鑰「推送」至伺服器。

使用Volume Move start命令在現有磁碟區上啟用加密

您可以使用 volume move start 命令、可透過移動現有磁碟區來啟用加密。您必須使用 volume move start 在 ONTAP 9.2 及更早版本中。您可以使用相同的Aggregate或不同的Aggregate。

關於這項工作

  • 從 ONTAP 9.8 開始、您可以使用 volume move start 在 SnapLock 或 FlexGroup 磁碟區上啟用加密。

  • 從 ONTAP 9.4 開始、如果您在設定內建金鑰管理程式時啟用「 cc 模式」、就會使用建立磁碟區 volume move start 命令會自動加密。您不需要指定 -encrypt-destination true

  • 從ONTAP 功能區9.6開始、您可以使用Aggregate層級的加密功能、將金鑰指派給內含的Aggregate、以供移動的磁碟區使用。使用唯一金鑰加密的磁碟區稱為 NVE Volumes (意指它使用 NetApp Volume Encryption )。使用Aggregate層級金鑰加密的Volume稱為_NAE Volume(適用於NetApp Aggregate Encryption)。NAE集合體不支援純文字磁碟區。

  • 從 ONTAP 9.14.1 開始、您可以使用 NVE 加密 SVM 根 Volume 。如需詳細資訊、請參閱 在 SVM 根磁碟區上設定 NetApp Volume Encryption

開始之前

您必須是叢集管理員才能執行此工作、或是叢集管理員已委派權限的SVM管理員。

"委派權限以執行Volume Move命令"

步驟

  1. 移動現有磁碟區、並指定是否在磁碟區上啟用加密:

    若要轉換…​

    使用此命令…​

    NVE Volume的純文字磁碟區

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    NAE磁碟區的NVE或純文字磁碟區(假設目的地已啟用Aggregate層級加密)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    NAE Volume至NVE Volume

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    NAE磁碟區至純文字磁碟區

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    從NVE磁碟區移至純文字磁碟區

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令會轉換名為的純文字磁碟區 vol1 至 NVE Volume :

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    假設目的地上已啟用 Aggregate 層級加密、下列命令會轉換名為的 NVE 或純文字磁碟區 vol1 至 NAE Volume :

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    下列命令會轉換名為的 NAE Volume vol2 至 NVE Volume :

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    下列命令會轉換名為的 NAE Volume vol2 至純文字磁碟區:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    下列命令會轉換名為的 NVE Volume vol2 至純文字磁碟區:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false

  2. 檢視叢集磁碟區的加密類型:

    volume show -fields encryption-type none|volume|aggregate

    encryption-type 欄位可在 ONTAP 9.6 及更新版本中取得。

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令會顯示中的磁碟區加密類型 cluster2

    cluster2::> volume show -fields encryption-type

vserver  volume  encryption-type
-------  ------  ---------------
vs1      vol1    none
vs2      vol2    volume
vs3      vol3    aggregate

  3. 確認已啟用磁碟區進行加密:

    volume show -is-encrypted true

    如需完整的命令語法、請參閱命令的手冊頁。

    下列命令會顯示上的加密磁碟區 cluster2

    cluster2::> volume show -is-encrypted true

Vserver  Volume  Aggregate  State  Type  Size  Available  Used
-------  ------  ---------  -----  ----  -----  --------- ----
vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

如果您使用 KMIP 伺服器來儲存節點的加密金鑰、 ONTAP 會在您加密磁碟區時自動將加密金鑰推送至伺服器。