所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置密管服务器集群

配置密管服务器集群

将两台配置相同的密管服务器配置成集群后,两台密管服务器将共同提供加密服务器,当一台密管服务器故障或者加密服务异常时,存储系统将自动连接到另一台密管服务器上,由其继续提供加密服务。

备份源密管服务器配置

配置密管服务器集群环境时,需要确保两台密管服务器的配置相同。为此,请备份已配置好的密管服务器(即源密管服务器)上的配置信息,然后再恢复到待同步的密管服务器(目标密管服务器)上。

生成System Key Share

生成System Key Share,可以将System Key导出到Smart Card上,从而实现System Key的备份。

前提条件

仅支持角色为Security Officer的用户执行该操作。

背景信息

至少需要生成两份System Key Share。

操作步骤
  1. 使用officer用户登录密管服务器Web管理界面。
  2. 选择“System Key”页签。

    图3-31所示。

    图3-31 生成System Key Share界面

  3. 在“System Key Share”区域,将“Recoverable Shares”设置为System Key Share的份数。

    说明:

    为了达到安全要求,请将该参数设置为“2”,至少生成两份System Key Share。

  4. 单击“Generate Share”,生成System Key Share。
初始化Smart Card

Smart Card用于备份密管服务器上生成的System Key,在使用前需要对其进行初始化。

前提条件

至少准备2张Smart Card。

注意事项

请妥善保存Smart Card及对应的PIN信息,并确认好每张Smart Card与PIN信息的对应关系。

操作步骤
  1. 将一张Smart Card插入密管服务器前面板的内置读卡器中,芯片朝上,指示灯一直显示绿色则表示Smart Card与密管服务器连接正常。
  2. 使用officer用户通过串口登录密管服务器管理界面。

    图3-32所示。

    图3-32 密管服务器管理界面

  3. 选择“Smart Card”并按“Enter”。

    系统弹出“Smart Card”界面,如图3-33所示。

    图3-33 Smart Card主界面

  4. 擦除Smart Card上的信息。

    1. 选择“Erase”并按“Enter”,擦除Smart Card上的信息。

      系统弹出“Confirm”界面。

    2. 单击“Yes”。

      系统弹出“Info”界面。

    3. 单击“OK”,完成Smart Card信息擦除。

      系统返回Smart Card主界面。

  5. 记录Smart Card的配置信息。

    1. 选择“Prepare”并回车。

      系统弹出“Confirm”界面,如图3-34所示。

      图3-34 Smart Card配置信息

    2. 记录Smart Card的“SmartCard Serial”、“PIN”和“PUK”信息,并单击“Yes”。
      说明:

      建议在系统生成PIN信息的时候截图保存,保存的文件名建议以SmartCard Serail中的序列号命名,并且将序列号贴在对应的SmartCard背面,以确保PIN信息与Smart Card一一对应。

      系统弹出“Please Wait”界面。请等待,直到弹出“Info”界面提示初始化成功,如图3-35所示。

      图3-35 Smart Card初始化成功

    3. 再次确认Smart Card的“SmartCard Serial”、“PIN”和“PUK”信息已记录,然后单击“OK”。

  6. 拔出Smart Card。
  7. 重复初始化Smart Card初始化Smart Card完成另外一张Smart Card的初始化。
备份源密管服务器System Key到Smart Card上

在执行高危操作前,需要将源密管服务器的System Key进行备份。

前提条件
  • 仅支持角色为Recovery Officer的用户执行该操作。
  • 至少两个Smart Card已完成初始化,并记录好其配置信息。
背景信息

本文档以密管服务器中预置的“recovery1”用户为例进行介绍,后续不再说明。

操作步骤
  1. 使用recovery1用户通过串口登录到密管服务器管理界面。

    图3-36所示。

    图3-36 密管服务器管理界面

  2. 将准备好的Smart Card插入源密管服务器的内置读卡器中,芯片朝上,指示灯一直显示绿色则表示Smart Card与密管服务器连接正常。
  3. 选择“Export Share”并回车。

    系统弹出“Export Key Share”界面,如图3-37所示。

    图3-37 导出System Key界面

  4. 输入该Smart Card的PIN信息,并单击“Read Card”。

    系统弹出“Info”界,显示当前Smart Card上没有其他Share。

  5. 单击“OK”。
  6. 在“Save Share As”处设置导出到Smart Card的Share名称,然后选择“OK”并按“Enter”。

    系统弹出“Info”对话框。

  7. 单击“OK”并按“Enter”。

    请记录好recovery用户和Smart Card的对应关系,在后续进行System Key恢复时需要使用recovery用户将相应的Smart Card上的System Key恢复到密管服务器上。

  8. 退出recovery1用户登录。
  9. 使用recovery2用户通过串口登录到CLI管理界面。
  10. 重复备份源密管服务器System Key到Smart Card上备份源密管服务器System Key到Smart Card上,将System Key导出到第二张Smart Card上。
  11. 确认导出结果。

    1. 使用officer用户登录源密管服务器Web管理界面。
    2. 选择“System Key”页签,确认“Shares Exported”中的数值跟已导出System Key的份数一致,如图3-38所示。
    图3-38 导出结果确认

手动备份密管服务器配置信息

为确保两台密管服务器上的配置信息相同,需要先将源密管服务器上的配置信息手动备份到备份服务器上,然后再将备份服务器上的备份信息恢复到目标密管服务器。

前提条件

备份服务器已成功部署,且与密管服务器间通信正常。

背景信息

支持的备份服务器包括NFS备份服务器和SCP备份服务器。推荐使用SCP备份服务器。

操作步骤
  1. 使用officer用户登录源密管服务器Web管理界面。
  2. 选择“Backup”页签。

    系统弹出“Backup”界面,如图3-39所示。

    图3-39 备份管理界面

    说明:

    密管服务器支持通过NFS协议或SCP协议将配置信息进行备份。

    • 需要通过NFS协议进行备份时,后续请执行步骤3
    • 需要通过SCP协议进行备份时,后续请执行步骤4

  3. 配置NFS备份服务器信息。

    1. 在“Device”区域,设置NFS备份服务器信息,如表3-13所示。
      表3-13 NFS备份服务器配置信息

      参数名称

      参数说明

      参数设置

      Protocol

      将配置信息传输到备份服务器使用的协议。

      [示例]

      NFS

      NFS Server

      NFS服务器的IP地址。

      [示例]

      192.168.17.81

      Folder

      NFS服务器上备份信息的存放路径。

      [示例]

      /kabackup

      User ID

      NFS服务器上所创建用户的用户名。

      [示例]

      710

      说明:

      单击“Test Connection”,可以测试NFS备份服务器与密管服务器间的连通性。

    2. 单击“Save Device”,保存NFS服务器设置。

  4. 配置SCP备份服务器信息。

    1. 在“Device”区域,设置SCP备份服务器信息,如表3-14所示。
      表3-14 SCP备份服务器配置信息

      参数名称

      参数说明

      参数设置

      Protocol

      将配置信息传输到备份服务器使用的协议。

      [示例]

      SCP

      SCP Server

      SCP服务器的IP地址。

      [示例]

      192.168.17.81

      Port

      SCP服务器使用的端口。

      [示例]

      22

      Username

      登录SCP服务器的用户名。

      [示例]

      admin

      Password

      登录SCP服务器的密码。

      [示例]

      Admin@123

      Folder

      SCP服务器上存放备份信息的文件夹。

      [示例]

      /home

      说明:

      单击“Test Connection”,可以测试SCP备份服务器与密管服务器间的连通性。

    2. 单击“Save Device”保存SCP备份服务器设置。

  5. 单击“Backup Now”。

    系统会提示备份开始,备份结果需要到日志中查看。

  6. 单击“Logs”页签,请根据时间查看备份结果,如图3-40所示。

    图3-40 备份结果确认

恢复目标密管服务器配置

配置密管服务器集群环境时,需要确保两台密管服务器的配置相同。为此,请将从源密管服务器备份的配置信息恢复到目标密管服务器上。

开启密管服务器维护模式

密管服务器只有在开启维护模式的前提下,才能配置集群。本节介绍如何开启该模式。

前提条件

只有导入了Replication的License,维护模式才能正常使用。

背景信息
  • 两台密管服务器均需要开启维护模式。
  • 维护模式需要由admin用户发起开启请求并由officer用户授权后,才能成功启用。
  • 如果密管服务器启用了维护模式,密钥管理服务将停止运行。
操作步骤
  1. 使用admin用户发起开启维护模式请求。

    1. 使用admin用户通过串口登录密管服务器管理界面。
    2. 选择“Maintenance Mode”并回车。

      系统弹出“Confirm”界面,如图3-41所示。

      图3-41 开启维护模式请求界面

    3. 选择“Yes”并按“Enter”。

      系统弹出“Confirmation”界面。

    4. 按“Enter”。

      回到密管服务器管理界面。

    5. 选择“Logout”并按“Enter”。

      退出admin用户登录

  2. 使用officer用户授权启用维护模式。

    1. 使用officer用户通过串口登录密管服务器管理界面。
      说明:

      如果是首次登录,请按照提示修改密码。

    2. 选择“Replication Setting”并按“Enter”。

      系统弹出“Replication Settings”界面,如图3-42所示。

      图3-42 Replication设置界面

    3. 选择“Maintenance Mode”,然后选择“OK”并按“Enter”。

      系统弹出“Confirm”界面,提示接收到Administrator用户发来的启用维护模式的请求,如图3-43所示。

      图3-43 确认开启维护模式请求

    4. 选择“Yes”并按“Enter”。

      系统弹出“Confirm”界面,再次进行确认。

    5. 选择“Yes”并按“Enter”。

      系统弹出“Info”界面,提示成功启用维护模式

    6. 按“Enter”。

恢复源System Key到目标密管服务器上

将源密管服务器的System Key导出到Smart Card上后,需要将Smart Card上的System key恢复到目标密管服务器上,从而保证两台密管服务器的System Key一致。

前提条件
  • 维护终端已通过串口连接到目标密管服务器。
  • 该操作需要recovery1和recovery2两个用户分别进行System Key恢复,并由officer用户提交后才能完成。
  • 执行该操作时,用户与Smart Card的对应关系必须与导出System Key到Smart Card上时一致:使用recovery1用户将第一张Smart Card上的System key恢复到目标密管服务器;使用recovery2用户将第二张Smart Card上的System key恢复到目标密管服务器。
操作步骤
  1. 使用recovery1用户将第一张Smart Card上的System key恢复到目标密管服务器。

    1. 将第一张Smart Card插入到目标密管服务器的内置读卡器中,直到指示灯一直为绿色,表示Smart Card与密管服务器成功连接。
    2. 使用recovery1用户通过串口登录到目标密管服务器管理界面。
    3. 选择“Recover Share”并按“Enter”。

      系统弹出“Recover Key Share”界面,如图3-44所示。

      图3-44 恢复第一张Smart Card的System Key界面

    4. 输入第一张Smart Card的PIN信息,然后选择“Read Card”并按“Enter”。

      Smart Card的信息将会出现在“Shares on Card”的列表中。

    5. 选择“OK”并按“Enter”。

      系统弹出“Info”界面。

    6. 按“Enter”。

      返回密管服务器管理界面。

    7. 拔出Smart Card并退出recovery1用户登录。

  2. 使用recovery2用户将第二张Smart Card上的System key恢复到目标密管服务器。

    1. 将第二张Smart Card插入到目标密管服务器的内置读卡器中,直到指示灯一直为绿色,表示Smart Card与密管服务器成功连接。
    2. 使用recovery2用户通过串口登录到目标密管服务器管理界面。
    3. 选择“Recover Share”并按“Enter”。

      系统弹出“Recover Key Share”界面,如图3-45所示。

      图3-45 恢复第二张Smart Card的System Key界面

    4. 输入第二张Smart Card的PIN信息,然后选择“Read Card”并按“Enter”。

      Smart Card的信息将会出现在“Shares on Card”的列表中。

    5. 选择“OK”并按“Enter”。

      系统弹出“Info”界面。

    6. 按“Enter”。

      返回密管服务器管理界面。

    7. 拔出Smart Card退出recovery2用户登录。

  3. 使用officer用户提交System Key恢复。

    1. 使用officer用户通过串口登录到目标密管服务器管理界面。
    2. 选择“System Key”并按“Enter”。

      系统弹出“System Key”界面,如图3-46所示。

      图3-46 提交System Key恢复界面

    3. 选择“Commit”,然后选择“OK”并按“Enter”。

      系统弹出“Warning”界面,如图3-47所示。

      图3-47 提交System Key恢复警告界面

    4. 选择“OK”并按“Enter”。

      系统弹出“Confirmation”界面。

    5. 按“Enter”,完成提交。

将备份服务器上的备份信息恢复到目标密管服务器上

介绍如何将NFS备份服务器或SCP备份服务器上的备份信息恢复到目标密管服务器上。

从NFS服务器进行恢复

在进行操作前,请确保已经完成以下操作:

  • NFS服务器与密管服务器间通信正常。
  • 已获取NFS服务器上备份信息的存放路径。
  1. 使用admin用户通过串口登录到目标密管服务器管理界面。
  2. 选择“Restore”并按“Enter”。

    系统弹出“System Restore”界面,如图3-48所示。

    图3-48 备份恢复界面

  3. 设置备份恢复参数。

    1. 将“Protocol”设置为“NFS”。
    2. 在“Server”、“Folder”和“NFS User ID”中分别填写NFS服务器的IP地址、备份文件在NFS服务器上的存放路径以及备份配置信息到NFS服务器时使用的用户名。
    3. 选择“Browse”并按“Enter”。

      系统弹出“Backup Platform”界面,如图3-49所示。

      图3-49 Backup Platform界面

    4. 在界面列表中,根据当前密管服务器的名称选择对应的行,按“Tab”键选中“OK”后再按“Enter”。

      系统弹出“Backup Directory”界面,如图3-50所示。

      图3-50 Backup Directory界面

    5. 在列表中选择相应的路径,然后按“Enter”。
      说明:

      每个路径都会对应到该时间点生成的备份文件的存放路径。

      系统返回“System Restore”界面,如图3-51所示。

      图3-51 System Restore界面

    6. 按照图3-51所示,取消选择“Restore all users”、“Restore license”、“Restore Network Settings”和“Restore Replication settings”,然后选择“OK”并按“Enter”。

      系统弹出“Confirmation”界面。

    7. 按“Enter”。
    8. 退出admin用户登录。

  4. 使用officer用户授权Restore操作。

    1. 使用officer用户通过串口登录密管服务器管理界面。
    2. 选择“Restore”并按“Enter”。

      系统弹出“Confirm”界面,如图3-52所示。

      图3-52 确认Restore操作

    3. 确认备份信息,然后选择“OK”并按“Enter”。

      系统弹出“Confirm”界面。

    4. 再次确认后,选择“OK”并按“Enter”。

      备份恢复成功,密管服务器自动重启。

  5. 在Web管理界面上确认备份恢复结果。

    1. 使用officer用户登录目标密管服务器Web管理界面。
    2. 选择“Summary”页签,确认“System last restored from”的信息与所设置的备份信息一致,如图3-52所示。
    图3-53 确认备份恢复信息

从SCP服务器恢复

在进行操作前,请确保已经完成以下操作:

  • SCP服务器与密管服务器间通信正常。
  • 已获取SCP服务器上备份信息的存放路径。
  1. 使用admin用户通过串口登录到目标密管服务器管理界面。
  2. 选择“Restore”并按“Enter”。

    系统弹出“System Restore”界面,如图3-54所示。

    图3-54 备份恢复界面

  3. 设置备份恢复参数,如表3-15所示。

    表3-15 SCP备份恢复相关参数

    参数名称

    参数说明

    参数设置

    Portocol

    备份信息传输使用的协议。

    [示例]

    SCP

    Server

    SCP备份服务器的IP地址。

    [示例]

    192.168.17.81

    Folder

    SCP服务器上用于存放密管服务器配置信息的文件夹。

    [示例]

    /home

    SCP Port

    SCP服务器使用的端口。

    [示例]

    22

    SCP Username

    登录SCP服务器的用户名。

    [示例]

    admin

    SCP Password

    登录SCP服务器的密码。

    [示例]

    Admin@123

    Backup Directory

    指定配置文件的存放路径,该配置文件用于恢复目标密管服务器。

    [示例]

    /home/restore

    1. 选择“Browse”并按“Enter”。

      系统弹出“Backup Platform”界面,如图3-55所示。

      图3-55 Backup Platform界面

    2. 在界面列表中,根据当前密管服务器的名称选择对应的行并按“Enter”。

      系统弹出“Backup Directory”界面,如图3-56所示。

      图3-56 Backup Directory界面

    3. 在列表中选择相应的路径,然后按“Enter”。
      说明:

      每个路径都会对应到该时间点生成的备份文件的存放路径。

      系统返回“System Restore”界面,如图3-57所示。

      图3-57 System Restore界面

    4. 按照图3-51所示,取消选择“Restore all users”、“Restore license”、“Restore Network Settings”和“Restore Replication settings”,然后选择“OK”并按“Enter”。

      系统弹出“Confirmation”界面。

    5. 按“Enter”。
    6. 退出admin用户登录。

  4. 使用officer用户授权Restore操作。

    1. 使用officer用户通过串口登录密管服务器管理界面。
    2. 选择“Restore”并按“Enter”。

      系统弹出“Confirm”界面,如图3-52所示。

      图3-58 确认Restore操作

    3. 确认备份信息,然后选择“OK”并按“Enter”。

      系统弹出“Confirm”界面。

    4. 再次确认后,选择“OK”并按“Enter”。

      备份恢复成功,密管服务器自动重启。

  5. 在Web管理界面上确认备份恢复结果。

    1. 使用officer用户登录目标密管服务器Web管理界面。
    2. 选择“Summary”页签,确认“System last restored from”的信息与所设置的备份信息一致,如图3-59所示。
    图3-59 确认备份恢复信息

添加Replication的集群成员

本节介绍如何在一台密管服务器上添加Replication成员,从而将两台密管服务器配置成集群。

前提条件
  • 已经配置好两台密管服务器业务网口(即后面板上的Port1)的IP地址信息。
  • 两台密管服务器已开启维护模式。
背景信息

只需在其中一台密管服务器上添加Replication成员。添加成功后,在另外一台密管服务器上会自动添加对方为Replication成员。

操作步骤
  1. 使用officer用户登录其中一台密管服务器的Web管理界面。
  2. 选择“Replication”页签。

    系统弹出“Replication Members”界面,如图3-60所示。

    图3-60 Replication管理界面

  3. 单击“Add Member”。

    系统弹出“Add Member”界面,如图3-61所示。

    图3-61 添加Replication成员

  4. 设置Replication成员的信息,并单击“Add”。

    • 在“Address”中输入另一台密管服务器Data Port 1的IP地址。
    • 在“Control port”和“Data Port”中分别输入集群的控制端口和数据端口,默认值分别为“37211”和“37210”。

  5. 等几分钟后,检查并确认集群成员已添加成功。

    1. 分别使用officer用户登录两台密管服务器的Web管理界面。
    2. 选择“Replication”页签。

      系统弹出“Add Member”界面,如图3-62所示。

      图3-62 确认Replication成员

    3. 在“Replication Member”列表中,确认新添加的成员已存在列表中,并且“Status”为“OK”。

关闭维护模式

完成密管服务器集群配置后需要关闭维护模式,Replication和密钥管理服务才能正常使用。

前提条件
  • 维护模式需要由admin用户发起关闭请求并由officer用户授权后,才能成功关闭。
  • 两台密管服务器均需要关闭维护模式。
背景信息

密管服务器关闭维护模式后,Replication和密钥管理服务能正常运行。

操作步骤
  1. 使用admin用户发起关闭维护模式请求。

    1. 使用admin用户通过串口登录密管服务器管理界面。
    2. 选择“Maintenance Mode”并回车。

      系统弹出“Confirm”界面,如图3-63所示。

      图3-63 关闭维护模式请求界面

    3. 选择“Yes”并按“Enter”。

      系统弹出“Confirmation”界面。

    4. 按“Enter”。

      回到密管服务器管理界面。

    5. 选择“Logout”并按“Enter”。

      退出admin用户登录

  2. 使用officer用户授权关闭维护模式。

    1. 使用officer用户通过串口登录密管服务器管理界面。
    2. 选择“Replication Setting”并回车。

      系统弹出“Replication Settings”界面,如图3-64所示。

      图3-64 Replication设置界面

    3. 取消选择“Maintenance Mode”,然后选择“OK”并按“Enter”。

      系统弹出“Confirm”界面,提示接收到Administrator用户发起的关闭维护模式的请求。如图3-65所示。

      图3-65 关闭维护模式请求确认界面

    4. 选择“Yes”并按“Enter”。

      系统弹出“Confirm”界面,再次进行确认。

    5. 选择“Yes”并按“Enter”。

      系统弹出“Info”界面,提示成功关闭维护模式。

    6. 按“Enter”。

翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8259

下载量:63

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页