Ocasionalmente, pode ser necessário mover um dispositivo entre data centers para copiar dados de vários locais. Bloquear um dispositivo antes de movê-lo garante que os dados sejam criptografados e não possam ser acessados quando o dispositivo entrar em contato com serviços de envio de terceiros ou pessoas fora da organização.
Gerar chaves de criptografia
Você precisa gerenciar um par de chaves para bloquear e desbloquear o dispositivo. Ao criar e gerenciar chaves, considere o seguinte:
Quando você desbloqueia o dispositivo, a chave privada inserida precisa corresponder à chave pública do par de chaves usado quando o dispositivo estava bloqueado. A tentativa de desbloquear o dispositivo com uma chave privada incorreta que não corresponde ao par de chaves resulta em um erro.
A perda da chave privada após o bloqueio do dispositivo faz com que o Transfer Appliance seja bloqueado permanentemente. Os dados só poderão ser recuperados se o dispositivo for enviado de volta ao data center do Google.
As chaves precisam ser armazenadas em um local seguro. Não armazene chaves no dispositivo ou no disco dele durante o bloqueio/desbloqueio.
Gerar um par de chave pública/privada usando o OpenSSL
Gere uma chave privada usando o algoritmo RSA com um tamanho de chave com comprimento mínimo de 2.048 bits. Use o comando a seguir:
openssl genrsa -out yourcompany.key 2048
Esse comando gera uma chave privada no diretório atual chamada
yourcompany.key
(out suaempresa.key) usando o algoritmo RSA (genrsa) com um comprimento de chave de 2.048 bits (2048).Use o seguinte comando para visualizar o conteúdo bruto e codificado da chave privada:
cat yourcompany.key
Extrair sua chave pública
O arquivo da chave privada contém as chaves privada e pública. Use o seguinte comando para extrair a chave pública:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
Depois que as chaves forem geradas, a saída conterá um grande bloco de texto com os cabeçalhos Begin RSA Private Key e Begin Public Key. Salve o par de chave pública/privada, porque você precisará fornecê-las para ativar o bloqueio/desbloqueio.
Bloquear um dispositivo
Use o seguinte comando para ativar o bloqueio:
Execute
ta lock
.Quando o prompt de comando a seguir aparecer, cole a chave pública que foi extraída anteriormente:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...
Inclua os cabeçalhos e os rodapés da chave ao colar a chave. Se a chave estiver incorreta, o prompt de comando será exibido novamente até que a chave correta seja inserida.
Você bloqueou seu dispositivo.
Desbloquear um dispositivo
Para desbloquear o dispositivo, você precisa da chave privada gerada para bloqueá-lo.
Execute
ta unlock
.Quando o prompt de comando a seguir aparecer, cole a chave privada que foi gerada quando você usou o OpenSSL pela primeira vez para gerar um par de chave pública/privada:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...
Inclua os cabeçalhos e os rodapés da chave ao colar a chave. Se a chave estiver incorreta, o prompt de comando será exibido novamente até que a chave correta seja inserida.
Você desbloqueou o Transfer Appliance e pode acessar os dados novamente.
Atualizar configurações de rede
Opcional:depois que ta unlock
for bem-sucedido, você vai precisar inicializar um
comando para reconfigurar as configurações de rede. Um exemplo de comando possível é:
ta config --data_Port=QSFP--ip=dhcp --network_only.
A sinalização network_only é necessária. Caso contrário, todas as configurações, incluindo as montagens de NFS e de dados, serão reconfiguradas.