Skip to main content
所有雲端提供者
  • 亞馬遜網路服務
  • Google雲
  • 微軟 Azure
  • 所有雲端提供者
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 Google Cloud KMS 管理Cloud Volumes ONTAP加密金鑰

貢獻者 netapp-manini

您可以使用"Google Cloud Platform 的金鑰管理服務(Cloud KMS)"在 Google Cloud Platform 部署的應用程式中保護您的Cloud Volumes ONTAP加密金鑰。

可以使用ONTAP CLI 或ONTAP REST API 啟用 Cloud KMS 的金鑰管理。

使用 Cloud KMS 時,請注意預設使用資料 SVM 的 LIF 與雲端金鑰管理端點進行通訊。節點管理網路用於與雲端提供者的身份驗證服務(oauth2.googleapis.com)進行通訊。如果叢集網路配置不正確,叢集將無法正確利用金鑰管理服務。

開始之前
  • 您的系統應該執行Cloud Volumes ONTAP 9.10.1 或更高版本

  • 您必須使用資料 SVM。 Cloud KMS 只能在資料 SVM 上配置。

  • 您必須是叢集或 SVM 管理員

  • 應在 SVM 上安裝磁碟區加密 (VE) 許可證

  • 從Cloud Volumes ONTAP 9.12.1 GA 開始,也應安裝多租用戶加密金鑰管理 (MTEKM) 許可證

  • 需要有效的 Google Cloud Platform 訂閱

配置

Google雲
  1. 在您的 Google Cloud 環境中,"建立對稱 GCP 金鑰環和金鑰"

  2. 為 Cloud KMS 金鑰和Cloud Volumes ONTAP服務帳戶指派自訂角色。

    1. 建立自訂角色:

      gcloud iam roles create kmsCustomRole
          --project=<project_id>
          --title=<kms_custom_role_name>
          --description=<custom_role_description>
          --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
          --stage=GA
    2. 指派您建立的自訂角色:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      註 如果您使用的是Cloud Volumes ONTAP 9.13.0 或更高版本,則無需建立自訂角色。您可以指派預定義的[cloudkms.cryptoKeyEncrypterDecrypter^] 角色。
  3. 下載服務帳戶 JSON 金鑰:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP
  1. 使用您首選的 SSH 用戶端連線到叢集管理 LIF。

  2. 切換到進階權限等級:
    set -privilege advanced

  3. 為資料 SVM 建立 DNS。
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. 建立 CMEK 條目:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. 出現提示時,請輸入您的 GCP 帳戶中的服務帳戶 JSON 金鑰。

  6. 確認啟用流程成功:
    security key-manager external gcp check -vserver svm_name

  7. 可選:建立磁碟區來測試加密 vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

故障排除

如果需要進行故障排除,您可以在上面的最後兩個步驟中追蹤原始 REST API 日誌:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log