您可以手动还原外部密钥管理加密密钥,并将它们推送
给另一节点。如果要将新节点添加到集群中,或要重新启动在为集群创建密钥时临时关闭的某一节点,可能需要执行此操作。
开始之前
只有集群或 SVM 管理员才能执行此任务。
关于本任务
在 ONTAP 9.6 及更高版本中,可以使用 security key-manager key query -node node_name 命令来验证您的密钥是否需要还原。
在 ONTAP 9.5 及更低版本中,可以使用 security key-manager key show 命令来验证您的密钥是否需要还原。
- 如果运行的是 ONTAP 9.8 或更高版本并且根卷已加密,请执行以下操作:
如果运行的是 ONTAP 9.7 或更低版本,或者运行的是 ONTAP 9.8 或更高版本但根卷未加密,请跳过此步骤。
- 设置 bootarg:setenv kmip.init.ipaddr <ip-address>setenv kmip.init.netmask <netmask>setenv kmip.init.gateway <gateway>setenv kmip.init.interface e0Mboot_ontap
- 将节点引导至引导菜单并选择选项 (11) Configure node for external key management。
- 按照提示输入管理证书。
输入所有管理证书信息后,系统返回至引导菜单。
- 从引导菜单中选择选项 (1) Normal Boot。
- 还原密钥:
| 对于此 ONTAP 版本... | 使用此命令... |
|---|
| ONTAP 9.6 及更高版本 | security key-manager external restore -vserver SVM -node node -key-server host_name|IP_address:port -key-id key_id -key-tag key_tag |
| ONTAP 9.5 及更低版本 | security key-manager restore -node node -address IP_address -key-id key_id -key-tag key_tag |
node 默认值为所有节点。有关完整的命令语法,请参阅手册页。启用板载密钥管理后不支持该命令。
示例
以下 ONTAP 9.6 命令将外部密钥管理认证密钥还原到 cluster1 中的所有节点:
clusterl::> security key-manager external restore