-
-
通过 NetScaler Console 进行 NetScaler MPX™ 磁盘加密
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler MPX™ 通过 NetScaler Console 进行磁盘加密
注意:
磁盘加密仅在 NetScaler MPX 9100 实例上受支持。
NetScaler MPX 9100 实例的磁盘加密只能在独立 NetScaler Console 中启用。
磁盘加密对于保护存储在存储磁盘上的敏感数据至关重要。它确保即使物理存储设备遭到破坏,数据也无法访问。对于 NetScaler MPX,磁盘加密提供了额外的安全层,特别是对于 /var/core、/var/crash、/var/log、/var/nslog、/flash/nsconfig、/var/nstrace 和 /var/temp 等关键目录。
磁盘加密的一些优势包括:
-
静态数据保护:防止系统关闭时未经授权访问敏感数据。
-
合规性:有助于满足数据安全的法规和合规性要求。
-
降低物理盗窃风险:确保被盗或放错位置的存储设备上的敏感和专有数据无法被访问。
-
安全启动过程:在启动期间需要经过身份验证的凭据,确保只有授权用户才能访问系统。
-
增强关键数据的安全性:保护日志、配置和崩溃数据免遭未经授权的访问。
NetScaler MPX 9100 上的磁盘加密仅在 2025 年 05 月 20 日之后发布的 14.1-47.x 版本中受支持,并且可以通过运行 14.1-47.x 版本的 NetScaler Console 启用。每个 NetScaler MPX 实例的磁盘加密都需要一个由硬件安全模块 (HSM) 服务器(即 Thales CipherTrust Manager)管理的密钥。NetScaler MPX 实例使用 NetScaler Console 从 HSM 服务器获取密钥。
注意:
NetScaler Console 支持 Thales CipherTrust Manager 作为 HSM 服务器。
为了成功加密,您必须 在 HSM 服务器中添加 NetScaler MPX 实例序列号。添加 NetScaler MPX 实例序列号后,NetScaler Console 将使用实例序列号从 HSM 服务器获取密钥。
磁盘加密完成后:
-
如果 NetScaler MPX 实例磁盘被移除,数据将无法访问。
-
如果您重新启动 NetScaler MPX 实例,只有在 NetScaler Console 使用其序列号从 HSM 服务器对 NetScaler MPX 实例进行身份验证后,重新启动才会成功。
先决条件
请确保:
-
NetScaler MPX 实例正在运行 14.1-47.x 版本,并且在运行 14.1-47.x 版本的本地 NetScaler Console 上进行管理。
注意:
NetScaler Console 服务不支持磁盘加密。
-
您已在 HSM (Thales CipherTrust Manager) 服务器中添加了 NetScaler MPX 实例序列号,以便 NetScaler Console 在使用其序列号对实例进行身份验证后共享密钥。
-
NetScaler MPX 实例已通过 NetScaler Console 进行备份。有关详细信息,请参阅 备份和还原 NetScaler 实例。
在 HSM (Thales CipherTrust Manager) 服务器中添加实例序列号
在加密 NetScaler MPX 实例之前,您必须在 HSM 服务器中添加 NetScaler MPX 实例序列号。
-
登录到 Thales CipherTrust Manager 服务器。
-
在左侧窗格中,选择 “密钥”,然后单击 “添加密钥”。
-
在 “密钥标签” 下,添加一个名为
serialnumber的标签,在 “标签值” 文本框中指定实例序列号,单击 “+” 按钮添加密钥详细信息,然后单击 “添加密钥”。
-
在密钥详细信息页面中,您必须为此密钥启用“可导出”切换开关。
注意:
-
支持的最大密钥大小为 511 字节。例如:支持 AES-128 和 AES-256。不支持 512 到 4096 之间的 RSA 密钥。
-
我们建议您仅使用受支持的密钥大小。如果配置了不受支持的密钥大小,NetScaler® 实例将失败。
-
确保指定正确的序列号。如果序列号不匹配,加密过程将不会启动。
-
我们建议您从 NetScaler Console 复制实例序列号。在 NetScaler Console GUI 中,导航到 “基础架构”>“实例”>“MPX”,选择 NetScaler MPX 实例,然后从 “选择操作” 列表中单击 “获取序列号”。
-
通过 NetScaler Console 进行实例磁盘加密
在开始磁盘加密之前,请确保通过 NetScaler Console 对 MPX 实例进行备份。有关详细信息,请参阅 配置实例备份。
备份完成后:
-
导航到 “基础架构”>“实例”>“NetScaler”。
-
在 “NetScaler MPX” 选项卡中,您可以看到托管实例的详细信息。您要加密的实例在 “磁盘加密状态” 下显示为 “纯文本”。
-
从 “选择操作” 列表中,单击 “磁盘加密设置”。
-
在 “磁盘加密设置” 页面中:
-
指定 HSM 服务器的 IP 地址、用户名和密码,NetScaler Console 可以使用序列号从该服务器获取加密密钥。
-
启用 “密钥管理器代理”。您必须启用此选项才能继续磁盘加密过程。
注意:
即使加密完成后,也请确保始终启用 “密钥管理器代理”。如果禁用此选项,则在实例升级或强制重新启动实例等情况下,加密的实例将无法成功重新启动。
-
单击 “保存”。
-
-
选择实例,然后从 “选择操作” 列表中,单击 “加密文件系统”。
将出现一个确认窗口。单击 “是” 以继续。
-
NetScaler Console 中将出现一条确认消息,指出加密已开始,并且实例将在大约 30 分钟内处于 “关闭” 状态。
实例状态显示为 “加密进行中”。
加密后的验证
实例加密在大约 30 分钟内完成。加密完成后:
-
您可以使用 SSH 客户端登录到 NetScaler MPX 实例,然后使用以下命令验证加密是否成功:
show filesystemencryption加密前 加密后 
-
您可以重新启动 NetScaler MPX 实例,并验证重新启动是否在加密后完成,如以下示例所示:
-
您可以使用以下命令验证 “密钥管理器代理” 是否已成功配置并可从 NetScaler 访问:
show keymanagerproxy
注意:
加密后,NetScaler Console 使用
mpx_disk_encryption_default_profile访问 NetScaler MPX 实例。mpx_disk_encryption_default_profile具有默认凭据 (nsroot/nsroot)。
加密后还原 NetScaler MPX 实例
如果您在备份之前更改了默认密码 (nsroot),请确保加密后 NetScaler Console 中提供了备份期间使用的配置文件。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.