複数の場所からデータをコピーするには、データセンター間でアプライアンスを移行する必要が生じることがあります。アプライアンスを移動する前にロックすることで、アプライアンスがサードパーティの配送サービスまたは組織外部の相手と接触したときに、データが暗号化され、アクセスできなくなります。
暗号鍵を生成する
アプライアンスのロックとロック解除には、鍵ペアを管理する必要があります。鍵を作成して管理する際は、次の点を考慮してください。
アプライアンスのロックを解除するときに、入力する秘密鍵は、アプライアンスがロックされているときに使用する鍵ペアの公開鍵と一致している必要があります。不適切な秘密鍵でアプライアンスのロックを解除しようとすると、鍵ペアと一致しません。
アプライアンスがロックされた後に秘密鍵を紛失すると、Transfer Appliance は完全にロックされます。その後は、アプライアンスが Google データセンターに返送された場合にのみ、データを復元できます。
鍵は安全な場所に保管する必要があります。ロックやロック解除中は、アプライアンスまたはアプライアンス ディスクに鍵を保存しないでください。
OpenSSL を使用して公開鍵/秘密鍵のペアを生成する
最小長が 2,048 ビットの鍵サイズを使用して、RSA アルゴリズムで秘密鍵を生成します。次のコマンドを使用します。
openssl genrsa -out yourcompany.key 2048このコマンドは、RSA アルゴリズム(genrsa)を使用して、
yourcompany.keyという名前の現在のディレクトリに秘密鍵(out-[会社名].key)を生成します。鍵の長さは 2,048 ビット(2,048)です。秘密鍵のエンコードされた未加工のコンテンツを表示するには、次のコマンドを使用します。
cat yourcompany.key
公開鍵を抽出する
秘密鍵ファイルには、秘密鍵と公開鍵の両方が含まれています。公開鍵を抽出するには、次のコマンドを使用します。
openssl rsa -in yourcompany.key -pubout -out yourcompany_public.key
鍵が生成されると、出力には [RSA 秘密鍵を開始] ヘッダーと [公開鍵を開始] ヘッダーを含む大きなテキスト ブロックが含まれます。公開鍵/秘密鍵ペアは、ロック/ロック解除を有効にするために必要となります。必ず保存してください。
アプライアンスのロック
ロックを有効にするには、次のコマンドを使用します。
ta lockを実行します。次のコマンド プロンプトが表示されたら、先ほど抽出した公開鍵を貼り付けます。
Paste public encryption key here: When finished, press Enter, ctrl + ], and Enter again...鍵を貼り付ける際は、鍵のヘッダーとフッターを含めます。キーが正しくない場合は、正しいキーが入力されるまでコマンド プロンプトが再び表示されます。
これで、アプライアンスが正常にロックされました。
アプライアンスのロック解除
アプライアンスのロックを解除するには、アプライアンスをロックするために生成した秘密鍵が必要です。
ta unlockを実行します。次のコマンド プロンプトが表示されたら、最初に OpenSSL を使用して公開鍵/秘密鍵のペアを生成したときに生成した秘密鍵を貼り付けます。
Paste private RSA encryption key here: When finished, press Enter, ctrl+ ], and Enter again...鍵を貼り付ける際は、鍵のヘッダーとフッターを含めます。キーが正しくない場合は、正しいキーが入力されるまでコマンド プロンプトが再び表示されます。
これで、Transfer Appliance が正常にロック解除され、データに再びアクセスできるようになりました。
ネットワーク設定の更新
省略可:ta unlock が正常に終了すると、ネットワーク設定を再構成するコマンドを初期化するように求められます。コマンドの例を次に示します。
ta config --data_Port=QSFP--ip=dhcp --network_only.
network_only フラグが必要です。それ以外の場合は、NFS マウントやデータマウントなど、すべての構成設定が再構成されます。