FAQ : NetApp ボリューム暗号化と NetApp アグリゲート暗号化
すべてのとおり
環境
- 管理
- ONTAP 9
- アグリゲートまたはボリュームの暗号化
回答
概要
NetApp Volume Encryption ( NVE )は、ソフトウェアベースの静止データ暗号化ソリューションで、 NetApp ONTAP 9.1 管理ソフトウェア以降で利用できます。NVE を使用すると、 ONTAP は自己暗号化ドライブを使用せずにデータを暗号化し、そのデータをディスクに格納できます。また、お客様がアプリケーション層で暗号化を決定した場合に失われる Storage Efficiency 機能を使用することもできます。NVE では、既存のディスクを使用できます。また、 NetApp Storage Encryption ( NSE )ドライブを使用して、二重または階層型の暗号化を行うこともできます。NetApp MetroCluster ソフトウェアと ONTAP Select では、データの暗号化に NVE と NAE のみを使用できます。
ONTAP 9.6 以降では、ソフトウェアベースの NVE 保存データ解決策の機能が拡張されています。 NAE を使用して、 ONTAP がアグリゲート用に共有されているキーで各ボリュームのデータを暗号化できます。NAE では、アグリゲートの重複排除を使用してストレージ効率を高めることができます。
- ソリューション概要
NVE と NAE は、ソフトウェア暗号化モジュール( CryptoMod )、暗号化キー、およびキー管理ツールで構成されています。
- ソフトウェアCryptoMod
CryptoMod ソフトウェアでは、データ暗号化処理が実行され、ボリュームの暗号化キーが生成されます(図 1 を参照)。
図 1 ) NVE と NAE の暗号化 / 復号化のフロー
CryptoMod では、 RAID レイヤでデータ暗号化が実行されるため、ストレージ効率が向上します。読み取り処理の後、データが RAID レイヤから離れるとデータは暗号化されません。
- 暗号キーアンゴウキー
NVE では、ボリュームごとに一意の XTS-AES-256 データ暗号化キーが生成されます。NAE では、 NAE ボリュームを暗号化するために、アグリゲートごとに一意の XTS-AES-256 データ暗号化キーが生成されます。 オンボードキーマネージャ( OKM )を使用する場合、暗号化キー階層を使用して、すべてのボリュームキーまたはアグリゲートキーを暗号化および保護します。これらの暗号化キーは、暗号化されていない形式では表示、表示、またはレポートされません。
- キー管理ツール
暗号化キーはキー管理ツール内に保存され、 ONTAP で使用されるすべての暗号化キーが追跡されます。Key Manager は、 OKVM (オンボードキーマネージャ)または KMIP (オアシスキー管理相互運用プロトコル)を使用する外部キーマネージャです。
- NetApp Storage Encryption との比較
NSE では、専用の自己暗号化ドライブを使用するために、 HA ペア内のすべてのドライブが必要になります。これらのドライブは、ハードウェアアクセラレーションメカニズムを使用してデータの暗号化を実行します。ハードウェアアクセラレーションのため、データを暗号化する場合、 NSE システムは通常、 NVE システムよりも優れたパフォーマンスを発揮します。
NSE ドライブ [1]は FIPS 140-2 レベル 2 に準拠しており、 NVE および NAE で使用される CryptoMod は FIPS 140-2 レベル 1 に準拠しています。FIPS 140-2 レベル 1 は、ソフトウェアモジュールで達成可能な最高レベルです。
注: CryptoMod では、自己暗号化ドライブの認証キーが生成されます
要件
- プラットフォーム要件はありますか。
○NVE および NAE を使用するには、コントローラの CPU が AES-NI と呼ばれるオフロードを提供する必要があります。オフロードが必要なコントローラは、 FAS2620 、 FAS2650 、 FAS6280 、 FAS6290 、 FAS8020 、 FAS8040 、 FAS8060 、 FAS8080 、 FAS8200 、 FAS9000 、 AFF A200 、 AFF A300 、 AFF A700 、 AFF A700S 、および ONTAP 9.1 以降で導入されたすべての新しいコントローラです。
- プラットフォームに加えて、 NVE や NAE を実行する必要があるのは他に何ですか。
暗号化および NVE ソフトウェアライセンスが可能な ONTAP ソフトウェアイメージが必要です。データを暗号化できない ONTAP イメージには、特別な拡張子が付いています。
- NVE と NAE はライセンス機能ですか。
はい。これは、グローバルな貿易コンプライアンスを目的としたものです。
- ONTAP 9.1 には暗号化機能を備えた NVE が含まれていることを理解しています。輸出規制ポリシーによって強力な暗号化アルゴリズムの輸出が禁止されている国で、お客様に販売する場合はどうすればよいですか。
ONTAP には、通常のビルドと非保存データ( NDAR )暗号化ビルドの 2 種類のビルドがあります。NODAR ビルドは、の中の nodar という単語によって区別されます version -v または run local のバージョン文字列 version コマンドを使用します
- NVE および NAE で互換性があるキー管理ツールまたはその両方を利用できるキー管理ツールはどれですか。
ONTAP 9.3 では、 OnBoard Key Manager ( OTM )サーバと外部 KMIP サーバを NVE と NAE に使用できます。
- 既存の NSE システムに外部 KMIP キー管理ツールを導入し、 NVE と NSE も使用したい場合はどうすればよいですか。
ONTAP 9.3 では、外部キーマネージャを NSE ドライブと NVE の両方に使用できます。NAE は ONTAP 9.6 で導入されます。
- ONTAP 9.3 以降で NVE および NAE でサポートされている外部キー管理ツールはどれですか。
Interoperability Matrix Tool ( IMT )を参照してください。
- NSE で必要に応じて、すべてのボリュームを暗号化する必要がありますか。
デスティネーションNVE では、暗号化するボリュームと暗号化しないボリュームを選択できます。 ネイアグリゲートでは、暗号化されていないボリュームは許可されません。 ネイアグリゲート上のすべてのボリュームは、ネイ暗号化または NVE 暗号化されている必要があります。
- NVE および NAE で NSE ドライブを使用できますか。
○NVE と NAE を使用すると、 NSE ドライブですでに提供されている暗号化レイヤを追加できます。
- 同じクラスタ内に NVE 対応プラットフォームと NVE 非対応プラットフォームがあり、 NVE と NAE を引き続き使用できますか。
○プラットフォームは、標準の ONTAP プラットフォームの混在ルールに従って混在させることができます。ハイアベイラビリティ( HA )ペアの両方のプラットフォームが NVE 対応で NAE に対応している必要があります。クラスタ内の NVE 対応でないプラットフォームは、暗号化されたボリュームをホストできません。
アーキテクチャ
- NVE と NAE で暗号化されるものは何ですか?
NVE の場合® 、データボリューム、具体的には NetApp FlexVol ボリューム、 MetroCluster 用のメタデータボリューム( MDV )、および既存のコントローラルートボリューム( vol0 )を暗号化できます。Storage Virtual Machine ( SVM )のルートボリュームは NVE で暗号化されません。ネイ、データボリューム、 Storage Virtual Machine ( SVM )ルートボリューム、 MetroCluster のメタデータボリューム( MDV )は暗号化されます。 コントローラのルートボリューム( vol0 )は、ネイトでは暗号化されません。NVE と NAE の両方で、データボリュームの一部™であるすべてのもの( NetApp Snapshot コピーやクローンなど)が暗号化されます。
- NetApp ストレージの効率性は、 NVE と NAE を使用しても維持されますか?
○ソリューションの概要( 1.1 項)に示すように、 CryptoMod は RAID レイヤでデータ暗号化を実行します。これにより、暗号化機能の前に実行されるため、ストレージの効率性が維持されます。
- NVE と NAE はアグリゲートの重複排除と連携して動作しますか。
アグリゲートされた重複排除アグリゲートに NVE ボリュームを配置できます。NVE ボリュームはアグリゲート重複排除の節約には関与しません。 NVE ボリュームは無視されます。 ネイボリュームは、重複排除によるアグリゲートの削減に参加します。
- NVE と NAE は、データの暗号化にどのような種類のアルゴリズムを使用していますか?
NVE と NAE の静止データ暗号化では、 XTS-AES-256 を使用します。XTS-AES-256 に必要なキーは、 CTR_DRBG モードで NIST SP800-90A DRBG を使用して生成され、予測抵抗とヘルスチェックは常にオンになっています。
- Snapshot コピーは暗号化されているか
○
- FlexClone ボリュームは暗号化されていますか
○NetApp FlexClone® ボリュームは、元のボリュームと同じキーで暗号化されます。
- FlexClone ボリュームは、元のボリュームとは異なる暗号化キーで暗号化できますか。
○FlexClone ボリュームは、最初に元のボリュームからスプリットする必要があります。警告メッセージが表示され、スプリットクローンに新しい暗号化キーを付与するためにボリュームの移動を実行するように指示されます。ユーザーがボリュームの移動を実行すると、スプリットクローンに新しい暗号化キーが設定されます。
- データボリュームの暗号化キーは再利用されますか?
デスティネーションNVE では、各データボリュームキーがそのボリュームに固有です。NAE では、データボリュームが一意のアグリゲートデータ暗号化キーを共有します。
- データボリュームに特定のキーを割り当てることはできますか。
デスティネーションNVE の場合、ボリュームが作成されると暗号化キーが自動的に生成されます。NAE では、アグリゲートが作成されると暗号化キーが自動的に生成されます。
- NetApp SnapMirror を使用して、暗号化されたボリュームを別のクラスタにミラーリングする場合、デスティネーションで使用されている暗号化キーと同じですか。
デスティネーションNVE の場合、デスティネーションボリュームは独自のボリュームで、固有のキーがあります。 NAE では、デスティネーションボリュームが独自のボリュームで、独自のアグリゲートキーがあります。
- NVE と NAE は転送中のデータを暗号化しますか。
デスティネーションNVE と NAE は、ディスクに格納されているデータ専用です。SnapVault 9.6 では、 SnapMirror 、 FlexCache 、および ONTAP の転送中にデータを暗号化するために、もう 1 つの機能である Cluster Peer Encryption ( CPE ;クラスタピア暗号化)が導入されています。
- SnapMirror を使用して暗号化されたボリュームを別のクラスタにミラーリングする場合、 NVE または NAE で転送中または転送中のデータは暗号化されていますか。
デスティネーションNetApp SnapMirror®® は NetApp WAFL レイヤの上に位置するため、 SnapMirror から送信されるデータは NVE または NAE で暗号化されません。詳細については、セクション 1.1 のソリューションの概要を参照してください。
- 暗号化キーはクラスタ間でレプリケートされていますか。
デスティネーション暗号化キーは 1 つのクラスタにのみ適用されます。
- データボリュームの暗号化キーまたはアグリゲートの暗号化キーの格納先はどこですか。
オンボードキーマネージャを使用すると、データボリュームの暗号化キーとアグリゲートキーが WAFL メタデータに格納されます。メタデータにはユーザがアクセスできず、ボリュームロケーションデータベース( VLDB )も格納されます。外部キー管理ツールでは、データボリュームの暗号化キーとアグリゲートキーは KMIP サーバに直接格納されます。
- Trusted Platform Module ( TPM )とは何ですか?
TPM は、 FAS または AFF ストレージコントローラのマザーボード上のチップです。 ONTAP 9.8 以降では、 TPM チップと TPM ライセンスを搭載したプラットフォームで、ノードキー暗号化キーを生成してシールし、 OKM のキー階層の最高レベルを保護します。
- ソースボリュームを暗号化して SnapMirror ターゲットを暗号化したり、逆に暗号化したりすることはできますか。
○ソースボリュームとデスティネーションボリュームでは、異なる暗号化設定を使用できます。ソースボリュームとデスティネーションボリュームには、 NVE ボリューム、 NAE ボリューム、またはプレーンテキストボリュームを混在させることができます。
- NVE と NAE FIPS 140-2 は検証済みですか。
NVE と NAE は FIPS 140-2 に準拠しています。NVE と NAE[2]がより正確に、 NVE 、 NAE 、 OKM が使用する CryptoMod が FIPS 140-2 レベル 1 に準拠するようにアルゴリズムが導入されています。
- NVE と NAE では、データの流出を防止または処理するための特別なメカニズムや手順を提供していますか。
デスティネーションソリッドステートドライブ( SSD )のウェアレベリングが原因で、 NVE や NAE が有効になる前にディスク上にあった機密データが残っている可能性があります。ただし、 NetApp ONTAP 9.3 で導入された外部キーサーバでは、ボリュームキーはクラスタの外部にあります。この問題はネットアップ独自のものではありません。 SSD を使用しているベンダーも同じ問題を抱えています。
- NVE を使用して、無停止で流出したデータを修正する方法を教えてください。 たとえば、 GDPR の「データの削除権の削除」は確実に削除したいと考えています。
NVE のセキュアパージを使用して、適切なファイルを移動し、感染ファイルの暗号化に使用されたキーを削除することで、 NVE ボリューム上で削除されたファイルを暗号化によって破棄します。NetApp Encryption Power Guide詳細については、を参照してくださいNAE ボリュームでは、セキュアパージがサポートされません。
20。 1 つ以上の KMIP サーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できますか。○1 つ以上の KMIP サーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。ONTAP 9.6 以降では、 1 つ以上の KMIP サーバを使用して、特定の SVM が暗号化されたデータにアクセスする際に使用するキーを安全に保管できます。ONTAP 9.6 以降で外部キー管理を有効にする( NVE )
構成
- 新しいデータボリュームを暗号化する方法を教えてください。
『 NetApp Volume Encryption Power Guide 』を参照してください。
- 既存のデータボリュームを暗号化できますか。
○ボリュームの移動を実行すると、ボリュームを移動できます。詳細については、『 NetApp Volume Encryption Power Guide 』を参照してください。
- 既存のデータボリュームを暗号化できますか(ボリュームの移動なし)。
○NetApp ONTAP 9.3 以降では、 volume encryption conversion start コマンドを使用して NVE ボリュームを暗号化できます。ただし、ボリュームを復号化するには、ボリュームの移動が必要です。
- 既存のボリュームを ONTAP 9.6 のネで暗号化できますか。
デスティネーション次のいずれかを実行する必要があります。
- ストレージアグリゲート create -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を指定して新しいネイアグリゲートを作成し、 encrypt-destination または encrypt-with-aggr-key を指定してボリュームを移動します。ボリュームが追加されると、アグリゲートの重複排除スペースの節約が実現します。
- アグリゲート内のすべてのボリュームが NVE ボリュームであることを確認します( NAE アグリゲートではプレーンテキストボリュームはサポートされません)。これを実行すると、ストレージアグリゲート modify -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を使用して、アグリゲートでネアを有効にできます。次に、ボリューム move start -vserver svm_name -volume volume_name -destination aggregate aggregate_name -encrypt-with-aggr-key true を指定して、同じアグリゲートに NVE ボリュームを移動します。
注:これらのオプションでは、ボリュームの移動を完了するために、新しいアグリゲートを作成するための十分な空きスペース、または既存のアグリゲートに十分な空きスペースが必要です。
詳細については、『 NetApp Volume Encryption Power Guide 』を参照してください。
-
NVE ボリュームを NAE ボリュームに移動したあとで、アグリゲートの重複排除によるスペース削減を実現するにはどうすればよいですか。
次の手順を実行してください。
cross-volume-background-dedupe
を使用してすべての NAE ボリュームで有効にしますvolume efficiency modify -vserver <vserver_name> -volume <vol_name> -cross-volume-background-dedupe true
cross-volume-inline-dedupe
を使用してすべての NAE ボリュームで有効にしますvolume efficiency modify -vserver <vserver_name> -volume <vol_name> -cross-volume-inline-dedupe true
volume-level background dedupe
すべての NAE ボリュームで実行し、が完了するまで待ちます すべてのボリュームvolume efficiency start -volume <vol_name> -vserver <vserver_name> -scan-old-data true -dedupe true and volume efficiency show
cross-volume background dedupe
で実行しますstorage aggregate efficiency cross-volume-dedupe start -aggregate <aggr_name> -scan-old-data true and storage aggregate efficiency cross-volume-dedupe show
- ネリボリュームの暗号化を解除する方法を教えてください。
次のいずれかの手順を実行します。
- 別のアグリゲートを使用:
- ボリュームを別の非ネイアグリゲートに移動し、プレーンテキストボリュームに変換します。そのためには
volume move
、コマンドとパラメータを使用します-encrypt-destination false -encrypt-with-aggr-key false.
- ボリュームを別の非ネイアグリゲートに移動し、プレーンテキストボリュームに変換します。そのためには
- 同じアグリゲートを使用:
- 既存の NAE アグリゲートにスペースがある場合は、ボリュームを移動して、同じアグリゲート内の NAE から NVE ( NAE アグリゲートで許可)に変換します。これを行うには
volume move
、コマンドをパラメータとともに使用します-encrypt-with-aggr-key false.
- すべて
aggregate modify -aggregate aggregate_name -node node_name -encrypt-with-aggr-key false
のボリュームが NVE のすべてで、 NAE で暗号化されたボリュームが存在しない場合は、コマンドを実行してアグリゲートの NAE を無効にします。 アグリゲート Snapshot コピーが存在しないことを確認してください。存在していない場合、失敗します。 - NVE ボリュームを移動して、暗号化を解除してから変換します を使用して NVE でプレーンテキストに変換する
-encrypt-destination false.
- 既存の NAE アグリゲートにスペースがある場合は、ボリュームを移動して、同じアグリゲート内の NAE から NVE ( NAE アグリゲートで許可)に変換します。これを行うには
- volume encryption conversion start コマンドの進行状況を表示するにはどうすればよいですか。
volume encryption conversion show-fields percentage-completed コマンドを使用します。
- アクティブな NVE ボリューム暗号化の開始中にボリュームを移動できますか。
○ ボリューム暗号化変換のステータスが「 running 」と表示されている場合は、ボリューム暗号化変換の一時停止を実行する必要があります。 -encrypt-destination true を指定してボリュームの移動が開始され、新しいボリュームデータ暗号化キーが使用されます。ボリューム暗号化変換のステータスがフェーズ 2 で表示される場合は、 -encrypt-destination true で始まるボリューム移動を一時停止せずに開始できます。 これは、アクティブボリューム暗号化キー再生成開始時のボリューム移動に当てはまります。
- ボリューム暗号化の変換を一時停止し、その後ボリューム暗号化の変換を再開すると、変換は中断した位置から続行されますか。
デスティネーション変換は最初から開始されます。
- ボリューム暗号化の変換プロセスを調整できますか?
デスティネーション ボリューム暗号化変換プロセスは、ボリュームごとにシングルスレッドで実行されます。ONTAP は、ボリューム暗号化変換プロセスよりもデータアクセス処理を優先します。
暗号化プロセスでデータアクセス
を優先するため、暗号化されるデータセットのサイズによっては変換プロセスに時間がかかることがあります。 ボリュームまたはアグリゲートの暗号化 / 復号化に必要な時間を予測することはできません。
- 一度に実行できる同時ボリューム暗号化変換プロセスの最大数はありますか。
いいえ。ただし、ノードごとに 4 つ以上の暗号化変換または暗号化ボリュームの移動を同時に行うことはお勧めしません。
- ボリュームを削除せずに、 NVE ボリューム暗号化キーを瞬時に削除できますか。
ボリュームの保持期間が終了するまで、ボリュームとともにボリューム暗号化キーが削除されます。保持期間は、 ONTAP の標準ボリューム機能です。保存期間が終了するまで、データはディスク上で暗号化されたままになります。
- NAE ボリュームを削除せずに、 NAE アグリゲートの暗号化キーを瞬時に削除できますか。
NAE ボリュームでは、ボリュームが削除されると、キーの観点からは何も行われません。アグリゲートに任意のタイプ( NVE または NAE )のボリュームが少なくとも 1 つ存在するまで、アグリゲートキーは存続します。アグリゲート・キーは、保持期間が過ぎたあと、最後にボリュームを削除すると削除されます。NAE ボリュームが再び作成されると、アグリゲートキーが再び作成されます。これらのキーは、以前このアグリゲートに存在していた一連のキーとは異なります。
- 暗号化されたボリュームを作成した後の操作を教えてください。
必要ありません。ONTAP では、そのボリュームのデータが暗号化されていることが確認されます。
- データボリュームの暗号化を解除できますか?
NVE の場合は Yes 。詳細[3]については、『 NetApp Volume Encryption Power Guide 』を参照してください。 NAE アグリゲートには暗号化されていないボリュームを含めることはできません。 NAE には NVE または NAE で暗号化されたボリュームしか含めることができません。
- 既存のボリュームのキーを変更したり、暗号化されたボリュームの暗号化キーを変更したりできますか。
NVE の場合は Yes 。詳細[4]については、『 NetApp Volume Encryption Power Guide 』を参照してください。NAE ではキーの変更がサポートされません。
- すべてのデータボリュームを NVE で暗号化する必要がありますか。
デスティネーションNVE では、暗号化するデータボリュームを選択できます。
- 暗号化されているボリュームを確認する方法を教えてください。
volume show
コマンドに -is-encrypted true オプションを指定すると、現在暗号化されているボリュームのリストが表示されます。9.6 以降 volume show
-encryption-type <none|volume|aggregate>
では、コマンドに暗号化されていないボリューム、 NVE 暗号化されているボリューム、または NAE 暗号化されているボリュームが表示されます。
- オンボードキーマネージャから外部キーマネージャに移行する方法、または逆に移行する方法を教えてください。
NSE を使用している場合は、認証キーをデフォルトの Manufacturer Secure ID ( MSID ) 0x0 にリセットする必要があります。NVE を使用している場合は、すべてのボリュームの暗号化を解除する必要があります。NAE を使用している場合は、すべての NAE または NVE ボリュームを非暗号化形式として非 NAE アグリゲートに移動する必要があります。OTM からの場合は、 OTM 設定を削除し、外部キーマネージャ設定を作成します。または、外部キーマネージャからアクセスする場合は、外部キーマネージャの設定を削除して OTM 設定を作成します。最後に、 NSE ドライブの認証キーを設定し、必要なボリュームを NVE で暗号化します。詳細については 、 NetApp Encryption パワーガイドを参照してください
- コントローラのリブート時に OTM パスフレーズのプロンプトを表示するにはどうすればよいですか。
OTM パスフレーズを要求するに-enable-cc-mode true
security key-manager setup
は、コマンドでオプションを使用します。この機能は、コントローラとディスクシェルフを移動する前にオンにし、移動完了後にオフにすることができます。ONTAP 9.6 以降 security key-manager onboard enable -cc-mode-enabled yes
では、コマンドはです。
- OKM を -enable-cc-mode true で初期化したときに -encrypt false で NVE ボリュームを作成するときにエラーが発生するのはなぜですか?
OKM をで初期化 -enable-cc-mode true
する場合は、新しいボリュームを暗号化する必要があります。
- ノードから外部キーマネージャにアクセスする状況はどのようなものですか。
次の場合、ノードがキー管理ツールにアクセスします。
- ブート中
- キーの作成
- A の要求では、次のようになります。
security key-manager query
コマンドsecurity key-manager restore
コマンドsecurity key-manager show -status
コマンド
- 外部キーマネージャにアクセスできない場合の動作を教えてください。
格納目的
- ブート中
- NVE システム:暗号化されたボリュームはオフラインのままです
- NSE システム:ブートを拒否する場合は、『 NetApp Encryption Power Guide 』を参照してください
- キーの作成:キーは作成されません
- A の要求では、次のようになります。
security key-manager query
コマンド:キャッシュがいっぱいになると、キー ID が表示されますsecurity key-manager restore
コマンド:コマンドは失敗しますsecurity key-manager show -status
コマンド:コマンドは「使用不可」と表示されます
- ノードのギブバック時に外部キー管理ツールを使用できない場合、 NVE ボリュームおよび NAE ボリュームはどうなりますか。
NVE ボリュームと NAE ボリュームはオフラインになります。
- NVE / NAE 対応イメージはどこからダウンロードできますか。
リリース 9.1 以降の ONTAP イメージは、ネットアップのサポートサイトからダウンロードできます。https://mysupport.netapp.com/NOW/download/software/ontap/9.1/download.shtmlたとえば、 ONTAP 9.1 の場合は、に進みます。(図 2 を参照)。
図 2 ) ONTAP ソフトウェアのダウンロードページ
- NVE 対応の ONTAP リリースに、 NVE 非対応の ONTAP リリース(制限対象国のバージョンなど)をインストールするとどうなりますか。
NVE ボリュームがある場合、 ONTAP のインストールは失敗します。
- NVE / NAE 対応バージョン(規制対象の国のバージョンなど)に NVE / NAE 対応バージョンに切り替えるにはどうすればよいですか。
NVE / NAE 対応バージョンにアップグレードするには、次の手順を実行します。
ONTAP 9 のダウンロードページから保存データの暗号化イメージをダウンロードして、 URL から入手できます。
- 用途
cluster image package get <-url text>
cluster image package show
パッケージを表示するには、を使用します。- 用途
cluster image update -version <version> -nodes <nodes>
Use cluster image show-update-progress
(完了するとリブートが実行されます)
パフォーマンス
- NVE および NAE がパフォーマンスに与える影響は何ですか。
これは、お客様のワークロード、アクティブな暗号化データボリュームの数、プラットフォーム、使用するディスクタイプによって異なります。
- NVE および NAE を使用すると、特定のプラットフォームのパフォーマンスが向上しますか。
○NVE では、コア数が多いプラットフォームのパフォーマンスが向上します。特定の状況では、ハイエンドでは、 NVE のパフォーマンスへの影響はほとんど見られません。たとえば、 NetApp FAS8080 は、同じワークロードと同じ数のアクティブな暗号化データボリュームの FAS8040 よりも影響を受けません。
- NVE および NAE を使用している場合に、 SSD と HDD でパフォーマンスに違いはありますか。
SSD に存在するボリュームは、非常に低レイテンシが必要なため、通常はその場所に配置されます。NVE と NAE は、各データのパス長を拡張して、一部のワークロードおよび動作条件で検出できるようにします。たとえば、 NVE および NAE を NetApp All Flash FAS システムで実行する場合は、一定のレイテンシでの IOPS 数を少なくすることができます。HDD に存在するボリュームがディスクのボトルネックになるため、 NVE および NAE ではほとんど、またはまったく影響を与えません。
- 暗号化されていないボリュームに影響はありますか?
NVE と NAE が及ぼす影響は、暗号化されたボリュームの処理を拡張することにあります。暗号化されていないボリュームは、通常の状態での動作中は影響を受けません
- 既存のシステムで NVE または NAE を有効にするにはどうすればよいですか。影響を測定する方法を教えてください。
システムのヘッドルーム機能をそのまま使用して(暗号化なし)、既存のパフォーマンスがどこにあるかを確認します。次に、 NVE ボリュームまたは NAE ボリュームを追加し(または既存のボリュームを変換し)、ヘッドルーム機能をもう一度使用して変更点を確認します。NVE はボリュームごとに実行されるため、ヘッドルームと影響に基づいて暗号化または作成を一度に行うことができます。
相互運用性
- NVE と NAE を MetroCluster で使用できますか。
○NVE と NAE は、 NetApp MetroCluster で一般的に使用できる唯一の静止データ暗号化オプションです。
- NVE と NAE を ONTAP Select で使用できますか。
○NVE と NAE は、 NetApp ONTAP Select で一般に利用可能な唯一の保管データ暗号化オプションです。
- NVE と NAE を NetApp FlexArray® ソフトウェアで使用できますか。
○コントローラが NVE と NAE をサポートしていれば、 NVE と NAE を使用できます。
- NVE と NAE を Cloud Volumes ONTAP で使用できますか。
NVE の場合は Yes 。Cloud Volumes ONTAP は ONTAP 9.5 以降でサポートされています。NAE は現在、 Cloud Volumes ONTAP ではサポートされていません。
- NVE と NAE は NetApp Flash Cache カードでサポートされていますか。
Flash Cache™ カードのデータは、 NVE と NAE が使用する同じ CryptoMod で暗号化されます。
- NVE および NAE で暗号化された NetApp Flash Pool インテリジェントキャッシングにデータが含まれていますか。
○Flash Pool™ キャッシュ内のデータは NVE および NAE によって暗号化されます。
- NetApp SnapLock ソフトウェアと NetApp ONTAP FlexGroup ボリュームは NVE および NAE と互換性がありますか。
○ONTAP 9.2 以降では、 SnapLock ソフトウェアと ONTAP FlexGroup ボリュームがサポートされています。SnapLock は新しい SnapLock ボリュームでサポートされます。 ONTAP 9.8 以降では、既存の SnapLock ボリュームをボリューム移動機能で暗号化できます。既存の SnapLock ボリュームを暗号化したり、キーを元の場所に変更したりすることはできません。
- FlexGroup ボリュームおよび NAE にはどのような制限がありますか。
FG での作成、キーの変更、変換、および拡張には、次の制限事項があります。
- FG の作成
- 暗号化されたボリューム作成操作は、すべてのデスティネーションアグリゲートが同じ暗号化タイプ( NAE または非 NAE )の場合にのみ許可されます。
- NAE アグリゲートではプレーンテキストの FG ボリュームの作成は許可されません。
- NVE ボリュームは、 NAE アグリゲートと非 NAE の両方で作成できます。
- 「 -encrypt true 」を指定すると、すべてのコンスティチュエントボリュームのタイプが NVE になります。デスティネーションアグリゲートには NAE アグリゲートと非 NAE を混在させることができます。
- 「 -encrypt false 」はサポートされません。
- 何も指定しないと、ディシ国家 NAE アグリゲートに NAE ボリュームが作成されます。
- FG キー変更 / 変換
- いずれかのコンスティチュエントボリュームが NAE タイプの場合は、キーの変更 / 変換は許可されません。NAE タイプのコンスティチュエントボリュームは、 vol move を使用して、 NVE 保存ボリュームのタイプに変換する必要があります。その場合のみ、キーの変更 / 変換が可能です。
- FG 拡張
- 既存の FG ( NAE アグリゲート)にメンバーを追加できるのは、新しい宛先アグリゲートが NAE の場合だけです。新しい宛先アグリゲートが非 NAE の場合は失敗します。
- 外部( KMIP )キー管理機能は NVE および NAE と互換性がありますか。
○ONTAP 9.3 以降では、外部キーマネージャは NVE と互換性があります。
- NVE と NAE はバックアップアプリケーションでサポートされていますか。
○NVE と NAE は、バックアップのターゲットやソリューションには依存しません。バックアップソリューションに提供されるデータは暗号化されません。
- NVE と NAE はデータパーティショニング( ADP / ADPv2 など)をサポートしていますか。
○NVE と NAE はデータパーティショニングプロセスの実行後にボリュームが確立されるため、データパーティショニングプロセスには依存しません。
追加情報
AdditionalInformation_Text