エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

既存のボリュームに対する暗号化の有効化

既存のボリュームで暗号化を有効にするには、volume move startコマンドと、volume encryption conversion startコマンドのいずれかを使用できます。

タスク概要
  • volume encryption conversion startコマンドを使用して、既存のボリュームの暗号化を「インプレースで」(ボリュームを別の場所に移すことなく)有効化できます。代わりに、volume move startコマンドを使用することもできます。

volume encryption conversion startコマンドを使用した既存のボリュームに対する暗号化の有効化

volume encryption conversion startコマンドを使用して、既存のボリュームの暗号化を「インプレースで」(ボリュームを別の場所に移すことなく)有効化できます。

変換処理を開始したら、最後まで完了させる必要があります。処理中にパフォーマンスの問題が発生した場合は、volume encryption conversion pauseコマンドを実行して処理を一時停止し、volume encryption conversion resumeコマンドを実行して処理を再開できます。

SnapLockボリュームの変換にはvolume encryption conversion startを使用できません。
手順
  1. 既存のボリュームで暗号化を有効にします。

    volume encryption conversion start -vserver SVM_name -volume volume_name

    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、既存のボリュームvol1で暗号化を有効にするものです。

    cluster1::> volume encryption conversion start -vserver vs1 -volume vol1

    ボリュームの暗号化キーが作成されます。ボリュームのデータが暗号化されます。

  2. 変換処理のステータスを確認します。

    volume encryption conversion show

    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、変換処理のステータスを表示します。

    cluster1::> volume encryption conversion show
    
    Vserver   Volume   Start Time           Status
    -------   ------   ------------------   ---------------------------
    vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.
  3. 変換処理が完了したら、ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、cluster1の暗号化されたボリュームを表示します。

    cluster1::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーの格納にKMIPサーバーを使用している場合は、ボリュームを暗号化すると暗号化キーがサーバーに自動的に「プッシュ」されます。

volume move startコマンドを使用した既存のボリュームに対する暗号化の有効化

volume move startコマンドを使用して、既存のボリュームを移動するときに暗号化を有効にできます。

タスク概要
  • ONTAP 9.8以降では、volume move startを使用して、SnapLockボリュームやFlexGroupボリュームで暗号化を有効にすることができます。

  • ONTAP 9.7以降では、オンボード キー マネージャのセットアップ時に「cc-mode」を有効にした場合、volume move startコマンドで作成するボリュームが自動的に暗号化されます。-encrypt-destination trueを指定する必要はありません。

  • ONTAP 9.7以降では、アグリゲートレベルの暗号化を使用して、移動するボリュームを含むアグリゲートにキーを割り当てることができます。一意のキーで暗号化されたボリュームをVEボリューム(Volume Encryptionを使用しているボリュームという意味)と呼びます。アグリゲートレベルのキーで暗号化されたボリュームはAEボリューム(AEはAggregate Encryptionの略)と呼びます。AEアグリゲートではプレーンテキスト ボリュームがサポートされません。

  • ONTAP 9.14.1以降では、VEを使用してSVMルート ボリュームを暗号化できます。詳細については、「SVMルート ボリュームでのVolume Encryptionの設定」を参照してください。

開始する前に

このタスクを実行するには、クラスタ管理者であるか、クラスタ管理者から権限を委譲されたSVM管理者である必要があります。

手順
  1. 既存のボリュームを移動し、そのボリュームで暗号化を有効にするかどうかを指定します。

    変換

    使用するコマンド

    プレーンテキスト ボリュームからVEボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination true

    VEボリュームまたはプレーンテキスト ボリュームからAEボリューム(デスティネーションでアグリゲートレベルの暗号化が有効になっている場合)

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key true

    AEボリュームからVEボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-with-aggr-key false

    AEボリュームからプレーンテキスト ボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false -encrypt-with-aggr-key false

    VEボリュームからプレーンテキスト ボリューム

    volume move start -vserver SVM_name -volume volume_name -destination-aggregate aggregate_name -encrypt-destination false

    コマンド構文の詳細については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、vol1という名前のプレーンテキスト ボリュームをVEボリュームに変換します。

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-destination true

    次のコマンドは、デスティネーションでアグリゲートレベルの暗号化が有効になっている場合に、vol1という名前のVEボリュームまたはプレーンテキスト ボリュームをAEボリュームに変換します。

    cluster1::> volume move start -vserver vs1 -volume vol1 -destination-aggregate aggr2 -encrypt-with-aggr-key true

    次のコマンドは、vol2という名前のAEボリュームをVEボリュームに変換します。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-with-aggr-key false

    次のコマンドは、vol2という名前のAEボリュームをプレーンテキスト ボリュームに変換します。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false -encrypt-with-aggr-key false

    次のコマンドは、vol2という名前のVEボリュームをプレーンテキスト ボリュームに変換します。

    cluster1::> volume move start -vserver vs1 -volume vol2 -destination-aggregate aggr2 -encrypt-destination false
  2. クラスタのボリュームの暗号化タイプを表示します。

    volume show -fields encryption-type none|volume|aggregate

    encryption-typeフィールドはONTAP 9.7以降で使用できます。

    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、cluster2のボリュームの暗号化タイプを表示します。

    cluster2::> volume show -fields encryption-type
    
    vserver  volume  encryption-type
    -------  ------  ---------------
    vs1      vol1    none
    vs2      vol2    volume
    vs3      vol3    aggregate
  3. ボリュームで暗号化が有効になっていることを確認します。

    volume show -is-encrypted true

    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、cluster2の暗号化されたボリュームを表示します。

    cluster2::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%
結果

ノードの暗号化キーの格納にKMIPサーバーを使用している場合は、ボリュームを暗号化すると暗号化キーがサーバーに自動的にプッシュされます。

Top of Page