卷的数据完整性和数据安全性
您可以使卷使用数据保证(Data Assurance、DA)功能和驱动器安全功能。这些功能在池和卷组级别提供。
数据保证
数据保证(Data Assurance、DA)实施了T10保护信息(Protection Information、PI)标准、该标准可通过检查并更正在I/O路径上传输数据时可能发生的错误来提高数据完整性。通常情况下、使用数据保证功能将检查控制器和驱动器之间I/O路径的部分。DA 功能在池和卷组级别提供。
启用此功能后、存储阵列会向卷中的每个数据块附加错误检查代码(也称为循环冗余检查或CRC)。移动数据块后、存储阵列会使用这些CRC代码来确定传输期间是否发生任何错误。可能损坏的数据既不会写入磁盘、也不会返回到主机。如果要使用DA功能、请在创建新卷时选择一个支持DA的池或卷组(在Pool and volume group candidates表中、查找"DA"旁边的"Yes")。
驱动器安全性
驱动器安全性是一项功能、可防止在从存储阵列中删除启用了安全功能的驱动器上的数据时未经授权进行访问。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器、也可以是经认证符合联邦信息处理标准140-2级别2 (FIPS驱动器)的驱动器。
驱动器安全在驱动器级别的工作原理
支持安全的驱动器(FDE或FIPS)可在写入期间对数据进行加密、并在读取期间对数据进行解密。此加密和解密不会影响性能或用户工作流。每个驱动器都有自己唯一的加密密钥、永远不能从该驱动器传输该密钥。
驱动器安全在卷级别的工作原理
从支持安全的驱动器创建池或卷组时、您还可以为这些池或卷组启用驱动器安全性。"驱动器安全性"选项可确保驱动器以及关联的卷组和池的安全-enabled.池或卷组可以同时包含支持安全和不支持安全的驱动器,但所有驱动器都必须具有安全功能才能使用其加密功能。
如何实施驱动器安全性
要实施驱动器安全性、请执行以下步骤。
-
为存储阵列配备支持安全保护的驱动器、可以是FDE驱动器、也可以是FIPS驱动器。(对于需要FIPS支持的卷、请仅使用FIPS驱动器。在卷组或池中混用FIPS和FDE驱动器将导致所有驱动器被视为FDE驱动器。此外、FDE驱动器不能添加到纯FIPS卷组或池中或用作备用磁盘。)
-
创建一个安全密钥、该密钥是一个字符串、由控制器和驱动器共享、用于进行读/写访问。您可以从控制器的永久性内存创建内部密钥、也可以从密钥管理服务器创建外部密钥。对于外部密钥管理、必须使用密钥管理服务器建立身份验证。
-
为池和卷组启用驱动器安全性:
-
创建池或卷组(在候选项表的*安全功能*列中查找*是*)。
-
创建新卷时、请选择池或卷组(在Pool and volume group candidates表中、查找*安全功能*旁边的*是*)。
使用驱动器安全功能、您可以创建一个安全密钥、该安全密钥可在存储阵列中启用了安全保护的驱动器和控制器之间共享。无论何时关闭和打开驱动器的电源、启用了安全保护的驱动器都会变为安全锁定状态、直到控制器应用安全密钥为止。
-