有时,您可能需要在数据中心之间移动设备,以便从多个位置复制数据。在移动设备之前锁定设备可确保数据经过加密,并在设备与第三方配送服务或贵组织之外的人员接触时无法访问。
生成加密密钥
您必须管理密钥对才能锁定和解锁设备。创建和管理密钥时,请考虑以下事项:
解锁设备时,您输入的私钥必须与设备锁定时所用密钥对中的公钥匹配。如果尝试使用与密钥对不匹配的错误私钥解锁设备,则会导致错误。
如果在设备锁定后丢失私钥,Transfer Appliance 将被永久锁定。只有将设备寄回 Google 数据中心,才能恢复数据。
密钥必须存储在安全的位置。在锁定/解锁期间,请勿在设备或设备磁盘上存储密钥。
使用 OpenSSL 生成公钥/私钥对
使用 RSA 算法生成私钥,密钥大小至少为 2048 位。使用以下命令:
openssl genrsa -out yourcompany.key 2048此命令使用 RSA 算法 (genrsa) 在当前目录中生成一个名为
yourcompany.key(out yourcompany.key)的私钥,密钥长度为 2048 位 (2048)。使用以下命令查看私钥的原始编码内容:
cat yourcompany.key
提取您的公钥
私钥文件包含私钥和公钥。使用以下命令提取公钥:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
生成密钥后,输出中会包含一个包含 Begin RSA Private Key 和 Begin Public Key 标头的大型文本块。请务必保存您的公钥/私钥对,因为您需要提供它们才能启用锁定/解锁功能。
锁定家电
使用以下命令启用锁定功能:
运行
ta lock。出现以下命令提示符后,粘贴之前提取的公钥:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...粘贴密钥时,请添加密钥的页眉和页脚。如果密钥不正确,系统会再次显示命令提示,直到您输入正确的密钥。
您现在已成功锁定家电。
解锁家电
如需解锁设备,您需要使用锁定设备时生成的私钥。
运行
ta unlock。当以下命令提示出现时,粘贴您首次使用 OpenSSL 生成公钥/私钥对时生成的私钥:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...粘贴密钥时,请添加密钥的页眉和页脚。如果密钥不正确,系统会再次显示命令提示,直到您输入正确的密钥。
您现在已成功解锁 Transfer Appliance,可以再次访问数据。
更新网络设置
可选:ta unlock 成功后,系统会提示您初始化一个命令以重新配置网络设置。可能的命令示例如下:
ta config --data_Port=QSFP--ip=dhcp --network_only.
请注意,network_only 标志是必需的,否则所有配置设置(包括 NFS 挂载和数据挂载)都将重新配置。