有时,您可能需要在数据中心之间移动设备才能从多个位置复制数据。在移动设备之前锁定设备可确保数据被加密,并且在设备与第三方配送服务或组织外部人员联系时无法访问。
生成加密密钥
您必须管理密钥对才能锁定和解锁设备。创建和管理密钥时,请考虑以下事项:
解锁设备时,您输入的私钥必须与设备锁定时使用的密钥对中的公钥匹配。尝试使用与密钥对不匹配的错误私钥解锁设备会导致错误。
在锁定设备后丢失私钥会导致 Transfer Appliance 被永久锁定。只有将设备发送回 Google 数据中心时,才能恢复数据。
密钥必须存储在安全的位置。锁定/解锁期间,请勿在设备或设备磁盘上存储密钥。
使用 OpenSSL 生成公钥/私钥对
使用 RSA 算法生成私钥,密钥大小至少为 2048 位。使用以下命令:
openssl genrsa -out yourcompany.key 2048此命令使用 RSA 算法 (genrsa),密钥长度为 2048 位 (2048),在名为
yourcompany.key的当前目录中生成一个名为yourcompany.key(out yourcompany.key) 的私钥。使用以下命令查看私钥的原始编码内容:
cat yourcompany.key
提取您的公钥
私钥文件包含私钥和公钥。 使用以下命令提取公钥:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
生成密钥后,输出将包含带有 Begin RSA Private Key 和 Begin Public Key 标头的一大段文本。请务必保存公钥/私钥对,因为您需要提供它们才能启用锁定/解锁。
锁定设备
使用以下命令启用锁定:
运行
ta lock。出现以下命令提示时,粘贴之前提取的公钥:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...粘贴密钥时,请添加密钥的页眉和页脚。如果密钥不正确,系统会再次显示命令提示符,直到输入正确的密钥。
您现在已成功锁定您的设备。
解锁设备
要解锁设备,您需要使用生成的私钥来锁定设备。
运行
ta unlock。出现以下命令提示时,请粘贴您首次使用 OpenSSL 生成公钥/私钥对时生成的私钥:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...粘贴密钥时,请添加密钥的页眉和页脚。如果密钥不正确,系统会再次显示命令提示符,直到输入正确的密钥。
现在,您已成功解锁 Transfer Appliance,可以再次访问数据了。
更新网络设置
可选:ta unlock 成功后,系统会提示您初始化命令以重新配置网络设置。可能的命令示例如下:
ta config --data_Port=QSFP--ip=dhcp --network_only.
请注意,network_only 标志是必需的,否则将重新配置所有配置设置,包括 NFS 装载和数据装载。