Gelegentlich kann es erforderlich sein, eine Appliance zwischen Rechenzentren zu verschieben, um Daten von mehreren Standorten zu kopieren. Wenn Sie eine Appliance sperren, bevor sie verschoben wird, sind die Daten verschlüsselt und nicht zugänglich, wenn die Appliance mit externen Versanddiensten oder Personen außerhalb Ihrer Organisation in Kontakt kommt.
Verschlüsselungsschlüssel generieren
Sie müssen ein Schlüsselpaar verwalten, um die Appliance zu sperren und zu entsperren. Beachten Sie beim Erstellen und Verwalten von Schlüsseln Folgendes:
Wenn Sie Ihre Appliance entsperren, muss der von Ihnen eingegebene private Schlüssel mit dem öffentlichen Schlüssel des Schlüsselpaars übereinstimmen, das beim Sperren der Appliance verwendet wurde. Der Versuch, die Appliance mit einem falschen privaten Schlüssel zu entsperren, der nicht mit dem Schlüsselpaar übereinstimmt, führt zu einem Fehler.
Wenn der private Schlüssel nach dem Sperren der Appliance verloren geht, wird die Transfer Appliance dauerhaft gesperrt. Die Daten können dann nur wiederhergestellt werden, wenn die Appliance an das Google-Rechenzentrum zurückgesendet wird.
Schlüssel müssen an einem sicheren Ort aufbewahrt werden. Bewahren Sie Schlüssel während des Sperrens und Entsperrens nicht auf der Appliance oder dem Festplattenlaufwerk auf.
Generieren Sie ein öffentliches/privates Schlüsselpaar mit OpenSSL.
Generieren Sie einen privaten Schlüssel mit dem RSA-Algorithmus mit einer Schlüsselgröße von mindestens 2.048 Bit. Verwenden Sie den folgenden Befehl:
openssl genrsa -out yourcompany.key 2048Mit diesem Befehl wird im aktuellen Verzeichnis
yourcompany.key(aus yourcompany.key) ein privater Schlüssel mit dem RSA-Algorithmus (genrsa) mit einer Schlüssellänge von 2.048 Bit (2.048) generiert.Verwenden Sie den folgenden Befehl, um den unverschlüsselten, codierten Inhalt des privaten Schlüssels anzusehen:
cat yourcompany.key
Öffentlichen Schlüssel extrahieren
Die Datei mit dem privaten Schlüssel enthält sowohl den privaten als auch den öffentlichen Schlüssel. Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel zu extrahieren:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
Nachdem die Schlüssel generiert wurden, enthält die Ausgabe einen großen Textblock mit den Headern Privaten RSA-Schlüssel beginnen und Öffentlichen Schlüssel starten. Speichern Sie das Paar aus öffentlichem/privatem Schlüssel, da Sie es zum Aktivieren/Sperren bereitstellen müssen.
Appliance sperren
Verwenden Sie den folgenden Befehl, um die Sperre zu aktivieren:
Führen Sie
ta lockaus.Wenn die folgende Eingabeaufforderung angezeigt wird, fügen Sie den zuvor extrahierten öffentlichen Schlüssel ein:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...Fügen Sie beim Einfügen der Schlüssel die Kopf- und Fußzeilen des Schlüssels ein. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung noch einmal angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben Ihre Appliance erfolgreich gesperrt.
Appliance entsperren
Zum Entsperren der Appliance benötigen Sie den privaten Schlüssel, den Sie zum Sperren der Appliance generiert haben.
Führen Sie
ta unlockaus.Wenn die folgende Eingabeaufforderung angezeigt wird, fügen Sie den privaten Schlüssel ein, der generiert wurde, als Sie OpenSSL zum Generieren eines öffentlichen und privaten Schlüsselpaars verwendet haben:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...Fügen Sie beim Einfügen der Schlüssel die Kopf- und Fußzeilen des Schlüssels ein. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung noch einmal angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben die Transfer Appliance erfolgreich entsperrt und können nun wieder auf Daten zugreifen.
Netzwerkeinstellungen aktualisieren
Optional:Wenn ta unlock erfolgreich ist, werden Sie aufgefordert, einen Befehl zur Neukonfiguration der Netzwerkeinstellungen zu initialisieren. Hier ein Beispiel für einen möglichen Befehl:
ta config --data_Port=QSFP--ip=dhcp --network_only.
Das Flag network_only ist erforderlich, da sonst alle Konfigurationseinstellungen wie NFS-Bereitstellungen und Datenbereitstellungen neu konfiguriert werden.