Il se peut que vous deviez déplacer un appareil entre des centres de données pour copier des données à partir de plusieurs emplacements. Verrouiller un appareil avant de le déplacer garantit que les données sont chiffrées et qu'elles ne sont pas accessibles lorsque l'appareil entre en contact avec des services de livraison tiers ou des personnes extérieures à votre organisation.
Générer des clés de chiffrement
Vous devez gérer une paire de clés pour verrouiller et déverrouiller l'appareil. Lorsque vous créez et gérez des clés, tenez compte des points suivants:
Lorsque vous déverrouillez votre appareil, la clé privée que vous saisissez doit correspondre à la clé publique de la paire de clés utilisée lorsque l'appareil était verrouillé. Toute tentative de déverrouillage de l'appareil avec une clé privée incorrecte qui ne correspond pas à la paire de clés entraîne une erreur.
Si vous perdez la clé privée après le verrouillage de l'appareil, celui-ci sera verrouillé de manière permanente. Les données ne peuvent alors être récupérées que si l'appareil est renvoyé au centre de données Google.
Les clés doivent être stockées dans un emplacement sécurisé. Ne stockez pas de clés sur l'appliance ni sur son disque lors du verrouillage/déverrouillage.
Générer une paire de clés publique/privée à l'aide d'OpenSSL
Générez une clé privée à l'aide de l'algorithme RSA avec une taille de clé d'une longueur minimale de 2 048 bits. Exécutez la commande suivante :
openssl genrsa -out yourcompany.key 2048Cette commande génère une clé privée dans le répertoire actuel nommé
yourcompany.key(out yourcompany.key) à l'aide de l'algorithme RSA (genrsa) avec une longueur de clé de 2 048 bits (2048).Utilisez la commande suivante pour afficher le contenu brut et encodé de la clé privée:
cat yourcompany.key
Extraire votre clé publique
Le fichier de clé privée contient à la fois la clé privée et la clé publique. Pour extraire la clé publique, utilisez la commande suivante:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
Une fois les clés générées, la sortie contient un grand bloc de texte avec les en-têtes Begin RSA Private Key (Début de la clé privée RSA) et Begin Public Key (Début de la clé publique). Assurez-vous d'enregistrer votre paire de clés publique/privée, car vous devrez les fournir pour activer le verrouillage/déverrouillage.
Verrouiller un appareil
Pour activer le verrouillage, exécutez la commande suivante:
Exécutez
ta lock.Lorsque l'invite de commande suivante s'affiche, collez la clé publique extraite précédemment:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...Incluez les en-têtes et les pieds de page de la clé lorsque vous la collez. Si la clé est incorrecte, l'invite de commande s'affiche de nouveau jusqu'à ce que la clé correcte soit saisie.
Vous avez bien verrouillé votre appareil.
Déverrouiller un appareil
Pour déverrouiller votre appareil, vous avez besoin de la clé privée que vous avez générée pour le verrouiller.
Exécutez
ta unlock.Lorsque l'invite de commande suivante s'affiche, collez la clé privée générée lorsque vous avez utilisé OpenSSL pour la première fois pour générer une paire de clés publique/privée:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...Incluez les en-têtes et les pieds de page de la clé lorsque vous la collez. Si la clé est incorrecte, l'invite de commande s'affiche de nouveau jusqu'à ce que la clé correcte soit saisie.
Vous avez maintenant déverrouillé le serveur Transfer Appliance et pouvez à nouveau accéder aux données.
Mettre à jour les paramètres réseau
Facultatif:Une fois ta unlock exécuté, vous êtes invité à initialiser une commande pour reconfigurer les paramètres réseau. Voici un exemple de commande possible:
ta config --data_Port=QSFP--ip=dhcp --network_only.
Notez que l'indicateur network_only est nécessaire, sinon tous les paramètres de configuration, y compris les montages NFS et les montages de données, seront reconfigurés.