跳到主要内容

使用 volume move start 命令在现有卷上启用加密

可使用 volume move start 命令通过移动现有卷来启用加密。您可以使用同一聚合或不同聚合。

开始之前

只有集群管理员,或由集群管理员委派授权的 SVM 管理员才能执行此任务。

委派授权运行 volume move 命令

关于本任务

不能使用 volume move start 在 SnapLock 或 FlexGroup 卷上启用加密。

如果在设置 Onboard Key Manager 时启用 cc 模式,则使用 volume move start 命令创建的卷将自动加密。不需要指定 -encrypt-destination true

从 ONTAP 9.6 开始,可使用聚合级加密将密钥分配给要移动的卷的所属聚合。使用唯一密钥加密的卷称为 LVE 卷。使用聚合级密钥加密的卷称为 LAE 卷(适用于 Lenovo 聚合加密)。LAE 聚合不支持纯文本卷。

  1. 移动现有卷并指定是否对该卷启用加密:
    要转换...使用此命令...
    纯文本卷到 LVE 卷volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true
    LVE 卷或纯文本卷到 LAE 卷(假设在目标上启用了聚合级加密)volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true
    LAE 卷到 LVE 卷volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false
    LAE 卷到纯文本卷volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false
    LVE 卷到纯文本卷volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    有关完整的命令语法,请参阅命令的手册页。

    示例

    以下命令将名为 vol1 的纯文本卷转换为 LVE 卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    示例

    假设在目标上启用了聚合级加密,以下命令将名为 vol1 的 LVE 卷或纯文本卷转换为 LAE 卷:

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    示例

    以下命令将名为 vol2 的 LAE 卷转换为 LVE 卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    示例

    以下命令将名为 vol2 的 LAE 卷转换为纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    示例

    以下命令将名为 vol2 的 LVE 卷转换为纯文本卷:

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
  2. 查看集群卷的加密类型:volume show -fields encryption-type none|volume|aggregate

    encryption-type 字段在 ONTAP 9.6 和更高版本中可用。

    有关完整的命令语法,请参阅命令的手册页。

    示例

    以下命令显示 cluster2 中的卷的加密类型:

    cluster2::> volume show -fields encryption-type

    vserver  volume  encryption-type 
    -------  ------  ---------------  
    vs1      vol1    none 
    vs2      vol2    volume
    vs3      vol3    aggregate

  3. 验证这些卷是否已启用加密:volume show -is-encrypted true

    有关完整的命令语法,请参阅命令的手册页。

    示例

    以下命令显示 cluster2 上已加密的卷:

    cluster2::> volume show -is-encrypted true

    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%

结果

如果使用 KMIP 服务器存储某个节点的加密密钥,则您在加密卷时 ONTAP 会自动向服务器推送加密密钥。