Gelegentlich müssen Sie eine Appliance zwischen Rechenzentren verschieben, um Daten von mehreren Standorten zu kopieren. Durch das Sperren einer Appliance vor dem Verschieben wird sichergestellt, dass die Daten verschlüsselt und nicht zugänglich sind, wenn die Appliance mit Versanddiensten von Drittanbietern oder Personen außerhalb Ihres Unternehmens in Kontakt kommt.
Verschlüsselungsschlüssel generieren
Sie müssen ein Schlüsselpaar zum Sperren und Entsperren der Appliance verwalten. Berücksichtigen Sie beim Erstellen und Verwalten von Schlüsseln Folgendes:
Wenn Sie die Appliance entsperren, muss der von Ihnen eingegebene private Schlüssel mit dem öffentlichen Schlüssel aus dem Schlüsselpaar übereinstimmen, das zum Sperren der Appliance verwendet wurde. Der Versuch, die Appliance mit einem falschen privaten Schlüssel zu entsperren, der nicht mit dem Schlüsselpaar übereinstimmt, führt zu einem Fehler.
Wenn der private Schlüssel nach dem Sperren der Appliance verloren geht, wird die Transfer Appliance dauerhaft gesperrt. Die Daten können dann nur wiederhergestellt werden, wenn die Appliance zurück an das Google-Rechenzentrum gesendet wird.
Schlüssel müssen an einem sicheren Ort aufbewahrt werden. Speichern Sie Schlüssel beim Sperren/Entsperren nicht auf der Appliance oder auf dem Appliance-Laufwerk.
Mit OpenSSL ein öffentliches/privates Schlüsselpaar generieren
Generieren Sie einen privaten Schlüssel mithilfe des RSA-Algorithmus mit einer Schlüsselgröße mit einer Mindestlänge von 2.048 Bit. Verwenden Sie den folgenden Befehl:
openssl genrsa -out yourcompany.key 2048Dieser Befehl generiert im aktuellen Verzeichnis einen privaten Schlüssel namens
yourcompany.key(out IhrUnternehmen.key) mithilfe des RSA-Algorithmus (genrsa) mit einer Schlüssellänge von 2.048 Bit (2.048).Verwenden Sie den folgenden Befehl, um den codierten Rohinhalt des privaten Schlüssels anzuzeigen:
cat yourcompany.key
Öffentlichen Schlüssel extrahieren
Die private Schlüsseldatei enthält sowohl den privaten als auch den öffentlichen Schlüssel. Extrahieren Sie den öffentlichen Schlüssel mit dem folgenden Befehl:
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
Nachdem die Schlüssel generiert wurden, enthält die Ausgabe einen großen Textblock mit den Headern Begin RSA Private Key und Begin Public Key. Speichern Sie das Paar aus öffentlichem/privatem Schlüssel, da Sie sie zum Aktivieren/Sperren/Entsperren angeben müssen.
Appliance verriegeln
Verwenden Sie den folgenden Befehl, um die Sperre zu aktivieren:
Führen Sie
ta lockaus.Wenn die folgende Eingabeaufforderung angezeigt wird, fügen Sie den zuvor extrahierten öffentlichen Schlüssel ein:
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...Geben Sie beim Einfügen des Schlüssels auch die Kopf- und Fußzeilen des Schlüssels an. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung noch einmal angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben Ihre Appliance jetzt erfolgreich gesperrt.
Appliance entsperren
Zum Entsperren der Appliance benötigen Sie den privaten Schlüssel, den Sie zum Sperren der Appliance generiert haben.
Führen Sie
ta unlockaus.Wenn die folgende Eingabeaufforderung angezeigt wird, fügen Sie den privaten Schlüssel ein, der generiert wurde, als Sie mit OpenSSL ein Paar aus öffentlichem und privatem Schlüssel generiert haben:
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...Geben Sie beim Einfügen des Schlüssels auch die Kopf- und Fußzeilen des Schlüssels an. Wenn der Schlüssel falsch ist, wird die Eingabeaufforderung noch einmal angezeigt, bis der richtige Schlüssel eingegeben wurde.
Sie haben die Transfer Appliance jetzt entsperrt und können wieder auf die Daten zugreifen.
Netzwerkeinstellungen aktualisieren
Optional: Wenn ta unlock erfolgreich war, werden Sie aufgefordert, einen Befehl zu initialisieren, um die Netzwerkeinstellungen neu zu konfigurieren. Ein Beispiel für einen möglichen Befehl ist:
ta config --data_Port=QSFP--ip=dhcp --network_only.
Beachten Sie, dass das Flag network_only erforderlich ist. Andernfalls werden alle Konfigurationseinstellungen, einschließlich NFS-Bereitstellungen und Datenbereitstellungen, neu konfiguriert.