暗号化されたボリュームを Azure CVOでAKVを使用してリホストし、keymanagerをmixed状態にする

最後の更新
PDFとして保存

Views:: 6

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core

Last Updated:

環境

ONTAP 9 .14.1P6以下
Azureキーヴォールト（AKV）
ボリュームのリホスト

問題

キー管理ツールが設定されていない状態で、Azureキーバックアップが有効なSVMからSVMへの暗号化されたボリュームのvolume rehost失敗すると、AKV キーストアはmixed state に格納されます。

Cluster::*> security key-manager external azure check

Vserver: svm1 Node: node-01

Category: service_reachability Status: OK

Category: ekmip_server Status: OK

Category: kms_wrapped_key_status Status: UNKNOWN Details: The top-level internal key protection key (KEK) is unavailable on node node-01. Reason: The key manager is in mixed state.

暗号化はSVMレベルでは機能せず、暗号化されたボリュームをcreate / delete / moveようとすると次のエラーが発生します。

Volume encryption keys (VEK) cannot be created or deleted for data Vserver "svm1". External key management has been configured for data Vserver "svm1" but VEKs for existing encrypted volumes of this data Vserver are stored in key manager configured for the admin Vserver. Either use the (privilege: advanced) "security key-manager key migrate -from-vserver <admin vserver_name> -to-vserver <data vserver_name>" command to migrate existing keys of this data Vserver from the admin Vserver's key manager to this data Vserver's key manager or unconfigure the key manager for this data Vserver.

警告

エラーメッセージに記載されているように、コマンドを実行したりキー管理ツールの設定を解除したりしないでください。

詳細については、NetAppのテクニカルサポートにお問い合わせください。