您可以使用 EnableEncryptionAtRest 方法在集群上启用高级加密标准 (Advanced Encryption Standard, AES) 256 位空闲加密,以便集群可以管理用于每个节点上的驱动器的加密密钥。默认情况下不会启用此功能。
如果启用空闲加密,集群会自动在内部管理用于每个节点上的驱动器的加密密钥。节点不会存储用于解锁驱动器的密钥,而且密钥永不通过网络传递。需要有两个加入集群的节点,这样才能访问用于在驱动器上禁用加密的密钥。加密管理不影响集群的性能或效率。如果通过 API 从集群中删除已启用加密的驱动器或节点,则会禁用空闲加密,并且无法安全擦除数据。可以使用 SecureEraseDrives API 方法安全擦除数据。
如果指定了 keyProviderID,则会根据密钥提供程序的类型生成和检索密码。对于 KMIP 密钥提供程序,通常使用密钥管理互操作性协议 (Key Management Interoperability Protocol, KMIP) 密钥服务器来完成此操作。执行此操作后,指定的提供程序将被视为处于活动状态且无法删除,除非使用 DisableEncryptionAtRest 方法禁用空闲加密。
此方法具有以下输入参数:
| 名称 | 说明 | 类型 | 默认值 | 必需 |
|---|---|---|---|---|
| keyProviderID | 要使用的 KMIP 密钥提供程序的 ID。 | 整型 | 无 | 否 |
此方法没有返回值。
此方法的请求类似于以下示例:
{
"method": "EnableEncryptionAtRest",
"params": {},
"id": 1
}
此方法返回的响应类似于 EnableEncryptionAtRest 方法中的以下示例。没有任何结果可供报告。
{
"id": 1,
"result": {}
}
在集群上启用空闲加密后,GetClusterInfo 返回的结果会将空闲加密状态(“encryptionAtRestState”)显示为“enabling”。完全启用空闲加密后,返回的状态将变为“enabled”。
{
"id": 1,
"result": {
"clusterInfo": {
"attributes": { },
"encryptionAtRestState": "enabling",
"ensemble": [
"10.10.5.94",
"10.10.5.107",
"10.10.5.108"
],
"mvip": "192.168.138.209",
"mvipNodeID": 1,
"name": "Marshall",
"repCount": 2,
"svip": "10.10.7.209",
"svipNodeID": 1,
"uniqueID": "91dt"
}
}
}
9.6