暗号化キーが見つからないためにMetroClusterのスイッチオーバー-simulateが失敗する
環境
- ONTAP 9
- MetroCluster
- タレスCipherTrust Manager(CTM)
- 外部キーマネージャ(EKM)
問題
- 次のエラーが表示されます。
MCC-A::> metrocluster operation show
Operation: switchover-simulate
State: failed
Start Time: 9/1/2023 16:13:31
End Time: 9/1/2023 16:13:40
Errors: Failed to validate the node and cluster components before the switchover operation.
MCC-A (overridable veto): Partner cluster node: MCC-A-01 missing keymanager encryption key with key-id 00000000000000000200000000000xxxxxxxxxxxxxx0000000000000000.
- セカンダリキーサーバをプライマリに昇格した後に削除されたキーサーバを再追加すると、キーも同期されません。
- ONTAPは、ボリュームを暗号化するときにEKMにキーを発行し、それらを見つけることができます。
KMIP2-CLIENT.GZ
AutopSupportセクションに次のような情報が表示されます。
DEBUG: kmip2::kmipCmds::KmipLocateCmd: [doCmdImp]:123: KMIP Locate executed successfully!
KmipGet
ただし、は次のように失敗します。
ERR: kmip2::tables::kmip_keytable_v2: [queryKeyserverForKey]:1965: Get command failed: KmipGetException: NOT_FOUND (11)
- CTM Records/Loki Audit recordsセクションで、 record not foundエラーが同時に表示されます。にメタデータを表示して
CTM
、identifier
ONTAPと一致させることができkey-id
ます。
{
"acc": "user1",
"acct": "user1:user1:admin:accounts:user1",
"iss": "sallyport",
"sub": "efbbdcf4-c523-4ad0-8152-xxxxxxxxxxxx"
}
details
{
"errorMessage": "record not found",
"identifier": "9e968b1433004c61b2c38fd73d452d53b05ca2087fbe4332af80xxxxxxxxxxxx"
}