Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

清理 FIPS 驱动器或 SED

贡献者
PDF

如果要使FIPS驱动器或SED上的数据永久不可访问、并使用该驱动器存储新数据、则可以使用 storage encryption disk sanitize 命令以对驱动器进行磁盘管理。

关于此任务

清理自加密驱动器时,系统会将磁盘加密密钥更改为新的随机值,将开机锁定状态重置为 false ,并将密钥 ID 设置为默认值,即制造商安全 ID 0x0 ( SAS 驱动器)或空密钥( NVMe 驱动器)。这样做会使磁盘上的数据无法访问且无法检索。您可以将已清理的磁盘重复用作未置零的备用磁盘。

开始之前

您必须是集群管理员才能执行此任务。

步骤

  1. 将需要保留的所有数据迁移到另一个磁盘上的聚合。

  2. 删除要清理的 FIPS 驱动器或 SED 上的聚合:

    storage aggregate delete -aggregate aggregate_name

    有关完整的命令语法,请参见手册页。

    cluster1::> storage aggregate delete -aggregate aggr1

  3. 确定要清理的 FIPS 驱动器或 SED 的磁盘 ID :

    storage encryption disk show -fields data-key-id,fips-key-id,owner

    有关完整的命令语法,请参见手册页。

    cluster1::> storage encryption disk show
Disk    Mode Data Key ID
-----   ---- ----------------------------------------------------------------
0.0.0   data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C
0.0.1   data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C
1.10.2  data F1CB30AFF1CB30B00101000000000000CF0EFD81EA9F6324EA97B369351C56AC
[...]

  4. 如果 FIPS 驱动器以 FIPS 兼容模式运行,请将节点的 FIPS 身份验证密钥 ID 设置回默认 MSID 0x0 :

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    您可以使用 security key-manager query 用于查看密钥ID的命令。

    cluster1::> storage encryption disk modify -disk 1.10.2 -fips-key-id 0x0

Info: Starting modify on 1 disk.
      View the status of the operation by using the
      storage encryption disk show-status command.

  5. 清理驱动器:

    storage encryption disk sanitize -disk disk_id

    您只能使用此命令清理热备用磁盘或损坏的磁盘。要清理所有磁盘、而不管其类型如何、请使用 -force-all-state 选项有关完整的命令语法,请参见手册页。

    备注 ONTAP将提示您输入确认短语、然后再继续。输入屏幕上所示的短语。 
    cluster1::> storage encryption disk sanitize -disk 1.10.2

Warning: This operation will cryptographically sanitize 1 spare or broken self-encrypting disk on 1 node.
         To continue, enter sanitize disk: sanitize disk

Info: Starting sanitize on 1 disk.
      View the status of the operation using the
      storage encryption disk show-status command.

  6. 使已清除的磁盘恢复失败: storage disk unfail -spare true -disk disk_id

  7. 检查磁盘是否具有所有者: storage disk show -disk disk_id
    如果磁盘没有所有者、请分配一个。 storage disk assign -owner node -disk disk_id

  8. 输入拥有要清理的磁盘的节点的 nodeshell :

    system node run -node node_name

    运行 disk sanitize release 命令:

  9. 退出nokeshell。再次解除磁盘故障: storage disk unfail -spare true -disk disk_id

  10. 验证磁盘现在是否为备用磁盘并可在聚合中重复使用: storage disk show -disk disk_id