暗号化キーが見つからないためにMetroClusterのスイッチオーバー-simulateが失敗する

最後の更新
PDFとして保存

Views:: 2

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: metrocluster<a>2009662214</a>

Last Updated:

環境

ONTAP 9
MetroCluster
タレスCipherTrust Manager（CTM）
外部キーマネージャ（EKM）

問題

次のエラーが表示されます。

MCC-A::> metrocluster operation show

Operation: switchover-simulate

State: failed

Start Time: 9/1/2023 16:13:31

End Time: 9/1/2023 16:13:40

Errors: Failed to validate the node and cluster components before the switchover operation.

          MCC-A (overridable veto): Partner cluster node: MCC-A-01 missing keymanager encryption key with key-id 00000000000000000200000000000xxxxxxxxxxxxxx0000000000000000.

セカンダリキーサーバをプライマリに昇格した後に削除されたキーサーバを再追加すると、キーも同期されません。
ONTAPは、ボリュームを暗号化するときにEKMにキーを発行し、それらを見つけることができます。KMIP2-CLIENT.GZ AutopSupportセクションに次のような情報が表示されます。

DEBUG: kmip2::kmipCmds::KmipLocateCmd: [doCmdImp]:123: KMIP Locate executed successfully!

KmipGet ただし、は次のように失敗します。

ERR: kmip2::tables::kmip_keytable_v2: [queryKeyserverForKey]:1965: Get command failed: KmipGetException: NOT_FOUND (11)

CTM Records/Loki Audit recordsセクションで、 record not foundエラーが同時に表示されます。にメタデータを表示して CTM 、 identifier ONTAPと一致させることができ key-idます。

{

"acc": "user1",

"acct": "user1:user1:admin:accounts:user1",

"iss": "sallyport",

"sub": "efbbdcf4-c523-4ad0-8152-xxxxxxxxxxxx"

}

details

{

"errorMessage": "record not found",

"identifier": "9e968b1433004c61b2c38fd73d452d53b05ca2087fbe4332af80xxxxxxxxxxxx"

}