跳到主要内容

在运行 ONTAP 9.6 及更高版本的系统上检查 LVE 或 LSE

关闭受影响的节点之前,需要检查系统是否启用了 Lenovo 卷加密(LVE)或 Lenovo 存储加密(LSE)。如果是这样,则需要验证配置。

  1. 检查是否为集群中的任何卷配置了 LVE:volume show -is-encrypted true
    如果输出中列出了任何卷,则说明已配置 LVE,并且需要验证 LVE 配置。如果未列出任何卷,请检查是否配置了 LSE。
  2. 检查是否配置了 LSE:storage encryption disk show
    • 如果命令输出中列出了包含模式和密钥标识信息的驱动器详细信息,则说明已配置 LSE,并且需要验证 LSE 配置。
    • 如果未显示任何磁盘,则说明未配置 LSE。
    • 如果未配置 LVE 和 LSE,则可以安全关闭受影响的节点。

验证 LVE 配置

  1. 显示存储在密钥管理软件上的认证密钥的密钥标识:security key-manager query
    • 如果 Key Manager 类型显示为 externalRestored 列显示为 yes,则可以安全关闭受影响的节点。
    • 如果 Key Manager 类型显示为 onboardRestored 列显示为 yes,则需要完成一些其他步骤。
    • 如果 Key Manager 类型显示为 externalRestored 列显示为除 yes 外的任何其他内容,则需要完成一些其他步骤。
    • 如果 Key Manager 类型显示为 onboardRestored 列显示为除 yes 外的任何其他内容,则需要完成一些其他步骤。
  2. 如果 Key Manager 类型显示为 onboardRestored 列显示为 yes,请手动备份 OKM 信息:
    1. 进入高级权限模式,并在提示是否继续时输入 yset -priv advanced
    2. 输入以下命令以显示密钥管理信息:security key-manager onboard show-backup
    3. 将备份信息的内容拷贝到单独的文件或日志文件中。在可能需要手动恢复 OKM 的灾难情况下,将用到该信息。
    4. 返回到管理员模式:set -priv admin
    5. 关闭受影响的节点。
  3. 如果 Key Manager 类型显示为 externalRestored 列显示为除 yes 外的任何其他内容:
    1. 将外部密钥管理认证密钥恢复到集群中的所有节点:security key-manager external restore
      如果命令失败,请联系 Lenovo 支持。

      https://datacentersupport.lenovo.com/

    2. 对于所有认证密钥,确认 Restored 列等于 yessecurity key-manager key query
    3. 关闭受影响的节点。
  4. 如果 Key Manager 类型显示为 onboardRestored 列显示为除 yes 外的任何其他内容:
    1. 输入板载安全密钥管理器同步命令:security key-manager onboard sync

      在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 Lenovo 支持。

      https://datacentersupport.lenovo.com/

    2. 对于所有认证密钥,确认 Restored 列显示为 yessecurity key-manager key query
    3. 确认 Key Manager 类型显示为 onboard,手动备份 OKM 信息。
    4. 进入高级权限模式,并在提示是否继续时输入 yset -priv advanced
    5. 输入以下命令以显示密钥管理备份信息:security key-manager onboard show-backup
    6. 将备份信息的内容拷贝到单独的文件或日志文件中。在可能需要手动恢复 OKM 的灾难情况下,将用到该信息。
    7. 返回到管理员模式:set -priv admin
    8. 现在可以安全地关闭节点。

验证 LSE 配置

  1. 显示存储在密钥管理软件上的认证密钥的密钥标识:security key-manager query
    • 如果 Key Manager 类型显示为 externalRestored 列显示为 yes,则可以安全关闭受影响的节点。
    • 如果 Key Manager 类型显示为 onboardRestored 列显示为 yes,则需要完成一些其他步骤。
    • 如果 Key Manager 类型显示为 externalRestored 列显示为除 yes 外的任何其他内容,则需要完成一些其他步骤。
    • 如果 Key Manager 类型显示为 externalRestored 列显示为除 yes 外的任何其他内容,则需要完成一些其他步骤。
  2. 如果 Key Manager 类型显示为 onboardRestored 列显示为 yes,请手动备份 OKM 信息:
    1. 进入高级权限模式,并在提示是否继续时输入 yset -priv advanced
    2. 输入以下命令以显示密钥管理信息:security key-manager onboard show-backup
    3. 将备份信息的内容拷贝到单独的文件或日志文件中。在可能需要手动恢复 OKM 的灾难情况下,将用到该信息。
    4. 返回到管理员模式:set -priv admin
    5. 现在可以安全地关闭节点。
  3. 如果 Key Manager 类型显示为 externalRestored 列显示为除 yes 外的任何其他内容:
    1. 输入板载安全密钥管理器同步命令:security key-manager external sync
      如果命令失败,请联系 Lenovo 支持。

      https://datacentersupport.lenovo.com/

    2. 对于所有认证密钥,确认 Restored 列等于 yessecurity key-manager key query
    3. 现在可以安全地关闭节点。
  4. 如果 Key Manager 类型显示为 onboardRestored 列显示为除 yes 外的任何其他内容:
    1. 输入板载安全密钥管理器同步命令:security key-manager onboard sync
      在提示符处输入客户的板载密钥管理密码短语。如果无法提供密码短语,请联系 Lenovo 支持。

      https://datacentersupport.lenovo.com/

    2. 对于所有认证密钥,确认 Restored 列显示为 yessecurity key-manager key query
    3. 确认 Key Manager 类型显示为 onboard,手动备份 OKM 信息。
    4. 进入高级权限模式,并在提示是否继续时输入 yset -priv advanced
    5. 输入以下命令以显示密钥管理备份信息:security key-manager onboard show-backup
    6. 将备份信息的内容拷贝到单独的文件或日志文件中。在可能需要手动恢复 OKM 的灾难情况下,将用到该信息。
    7. 返回到管理员模式:set -priv admin
    8. 现在可以安全地关闭节点。