跳到主要内容

在 ONTAP 9.6 和更高版本中启用外部密钥管理(LVE)

您可使用一个或多个 KMIP 服务器保护集群用于访问加密数据的密钥。从 ONTAP 9.6 开始,可使用一个或多个 KMIP 服务器来保护特定 SVM 用于访问加密数据的密钥。

开始之前

  • 必须已安装 KMIP SSL 客户端和服务器证书。

  • 只有集群或 SVM 管理员才能执行此任务。

  • 在启用加密之前,必须先配置 MetroCluster 环境。

关于本任务

一个集群或 SVM 最多可以连接四个 KMIP 服务器。出于冗余和灾难恢复的目的,建议最少连接两个服务器。

外部密钥管理的范围可以确定密钥管理软件是保护集群中的所有 SVM 或仅选定的 SVM:

  • 可使用集群范围 为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。

  • 从 ONTAP 9.6 开始,可使用 SVM 范围 为集群中的指定 SVM 配置外部密钥管理。这对于多租户环境来说是最好的,在此类环境中,每个租户使用不同的 SVM(或一组 SVM)来提供数据。只有特定租户的 SVM 管理员才能访问该租户的密钥。

  • 对于多租户环境,使用以下命令安装 MT_EK_MGMT 的许可证:system license add -license-code <MT_EK_MGMT license code>

    有关完整的命令语法,请参阅命令的手册页。

可以在同一集群中使用这两种范围。如果已为 SVM 配置了密钥管理软件,则 ONTAP 仅使用这些管理软件来保护密钥。否则,ONTAP 使用为集群配置的密钥管理软件来保护密钥。

可在集群范围配置板载密钥管理,并在 SVM 范围配置外部密钥管理。可使用 security key-manager key migrate 命令将密钥从集群范围的板载密钥管理迁移到 SVM 范围的外部密钥管理器。

  1. 为集群配置密钥管理器连接:security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    security key-manager external enable 命令取代了 security key-manager setup 命令。如果在集群登录提示符下运行该命令,admin_SVM 默认设置为当前集群的管理 SVM。

    必须是集群管理员才能配置集群范围。可以运行 security key-manager external modify 命令更改外部密钥管理配置。

    示例

    以下命令使用三个外部密钥服务器为 cluster1 启用外部密钥管理。第一个密钥服务器使用其主机名和端口指定,第二个使用 IP 地址和默认端口指定,第三个使用 IPv6 地址和端口指定:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. 为 SVM 配置密钥管理器连接:security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    如果在 SVM 登录提示符下运行该命令,SVM 默认设置为当前 SVM。

    必须是集群或 SVM 管理员才能配置 SVM 范围。可以运行 security key-manager external modify 命令更改外部密钥管理配置。

    示例

    以下命令使用在默认端口 5696 上侦听的单个密钥服务器为 svm1 启用外部密钥管理:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
  3. 对所有其他 SVM 重复执行最后一步。

    还可以使用 security key-manager external add-servers 命令配置更多密钥服务器。security key-manager external add-servers 命令取代了 security key-manager add 命令。有关完整的命令语法,请参阅手册页。
  4. 验证是否已连接所有经过配置的 KMIP 服务器:security key-manager external show-status -node node_name

    security key-manager external show-status 命令取代了 security key-manager show -status 命令。有关完整的命令语法,请参阅手册页。

    示例

    cluster1::> security key-manager external show-status

    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available

    8 entries were displayed.