エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

ONTAP 9.6以降での外部キー管理の有効化(ハードウェアベース)

1つ以上のKMIPサーバーを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1つのノードに最大4つのKMIPサーバーを接続できます。冗長性とディザスタ リカバリーのために少なくとも2つのサーバーを使用することを推奨します。

ONTAP 9.11.1以降では、プライマリー キー サーバー1台につき最大3台のセカンダリー キー サーバーを追加して、キー サーバーをクラスタ化できます。詳細については、「クラスタ化された外部キー サーバーの設定」を参照してください。

作業を開始する前に
  • KMIP SSLクライアント証明書とサーバー証明書をインストールしておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • 外部キー管理ツールを設定する前に、MetroCluster環境を設定する必要があります。

  • MetroCluster環境では、両方のクラスタにKMIP SSL証明書をインストールする必要があります。

手順
  1. クラスタのキー管理ツールの接続を設定します。

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    • security key-manager external enableコマンドは、security key-manager setupコマンドに置き換わるものです。外部キー管理の設定を変更するには、security key-manager external modifyコマンドを実行します。コマンド構文全体については、マニュアル ページを参照してください。

    • MetroCluster環境で管理SVMの外部キー管理を設定する場合は、パートナー クラスタでもsecurity key-manager external enableコマンドを実行する必要があります。

    次のコマンドは、3つの外部キー サーバーを指定してcluster1の外部キー管理を有効にします。1つ目のキー サーバーはホスト名とポートで指定し、2つ目のキー サーバーはIPアドレスとデフォルト ポートで指定し、3つ目のキー サーバーはIPv6アドレスとポートで指定します。

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. 設定したすべてのKMIPサーバーが接続されていることを確認します。

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    security key-manager external show-statusコマンドは、security key-manager show -statusコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    cluster1::> security key-manager external show-status
    
    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    
    6 entries were displayed.
Top of Page