Gelegentlich müssen Sie eine Appliance zwischen Rechenzentren verschieben, um Daten von mehreren Standorten zu kopieren. Wenn Sie ein Gerät vor dem Transport sperren, werden die Daten verschlüsselt und sind nicht zugänglich, wenn das Gerät mit Versanddiensten von Drittanbietern oder Personen außerhalb Ihrer Organisation in Kontakt kommt.
Verschlüsselungsschlüssel generieren
Sie müssen ein Schlüsselpaar verwalten, um das Gerät zu sperren und zu entsperren. Beachten Sie beim Erstellen und Verwalten von Schlüsseln Folgendes:
Wenn Sie das Gerät entsperren, muss der eingegebene private Schlüssel mit dem öffentlichen Schlüssel aus dem Schlüsselpaar übereinstimmen, das beim Sperren des Geräts verwendet wurde. Wenn Sie versuchen, das Gerät mit einem falschen privaten Schlüssel zu entsperren, der nicht mit dem Schlüsselpaar übereinstimmt, wird ein Fehler ausgegeben.
Wenn der private Schlüssel verloren geht, nachdem die Appliance gesperrt wurde, ist Transfer Appliance dauerhaft gesperrt. Die Daten können dann nur wiederhergestellt werden, wenn die Appliance an das Google-Rechenzentrum zurückgesendet wird.
Schlüssel müssen an einem sicheren Ort aufbewahrt werden. Bewahren Sie keine Schlüssel auf dem Gerät oder dem Laufwerk des Geräts auf, während Sie es sperren oder entsperren.
Öffentliches/privates Schlüsselpaar mit OpenSSL generieren
Generieren Sie einen privaten Schlüssel mit dem RSA-Algorithmus und einer Schlüsselgröße von mindestens 2.048 Bit. Verwenden Sie den folgenden Befehl:
openssl genrsa -out yourcompany.key 2048Mit diesem Befehl wird im aktuellen Verzeichnis ein privater Schlüssel mit dem Namen
yourcompany.key(out yourcompany.key) mit dem RSA-Algorithmus (genrsa) und einer Schlüssellänge von 2.048 Bit (2048) generiert.Mit dem folgenden Befehl können Sie den Rohinhalt des privaten Schlüssels anzeigen:
cat yourcompany.key
Öffentlichen Schlüssel extrahieren
Die Datei mit dem privaten Schlüssel enthält sowohl den privaten als auch den öffentlichen Schlüssel. Extrahieren Sie den öffentlichen Schlüssel mit dem folgenden Befehl:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
Nachdem die Schlüssel generiert wurden, enthält die Ausgabe einen großen Textblock mit den Überschriften Begin RSA Private Key (Beginnen Sie mit dem privaten RSA-Schlüssel) und Begin Public Key (Beginnen Sie mit dem öffentlichen Schlüssel). Speichern Sie Ihr öffentliches/privates Schlüsselpaar, da Sie es zum Sperren/Entsperren angeben müssen.
Haushaltsgerät sperren
Verwenden Sie den folgenden Befehl, um die Sperre zu aktivieren:
Führen Sie
ta lockaus.Fügen Sie in der folgenden Eingabeaufforderung den zuvor extrahierten öffentlichen Schlüssel ein:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...Fügen Sie beim Einfügen des Schlüssels die Kopf- und Fußzeilen des Schlüssels ein. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung so lange angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben Ihr Gerät jetzt erfolgreich gesperrt.
Haushaltsgerät entsperren
Zum Entsperren des Geräts benötigen Sie den privaten Schlüssel, den Sie zum Sperren des Geräts generiert haben.
Führen Sie
ta unlockaus.Wenn die folgende Eingabeaufforderung angezeigt wird, fügen Sie den privaten Schlüssel ein, der beim ersten Generieren eines öffentlichen/privaten Schlüsselpaars mit OpenSSL erstellt wurde:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...Fügen Sie beim Einfügen des Schlüssels die Kopf- und Fußzeilen des Schlüssels ein. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung so lange angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben die Transfer Appliance jetzt erfolgreich entsperrt und können wieder auf die Daten zugreifen.
Netzwerkeinstellungen aktualisieren
Optional:Nachdem ta unlock erfolgreich war, werden Sie aufgefordert, einen Befehl zum Neukonfigurieren der Netzwerkeinstellungen zu initialisieren. Ein Beispiel für einen möglichen Befehl:
ta config --data_Port=QSFP--ip=dhcp --network_only.
Das Flag network_only ist erforderlich. Andernfalls werden alle Konfigurationseinstellungen, einschließlich NFS- und Daten-Mounts, neu konfiguriert.