可选:启用节点加密
如果启用了节点加密,则可以通过安全密钥管理服务器( KMS )加密来保护设备中的磁盘,防止物理丢失或从站点中删除。您必须在设备安装期间选择并启用节点加密,并且在 KMS 加密过程开始后,不能取消选择节点加密。
查看有关管理 StorageGRID 的说明中有关 KMS 的信息。
启用了节点加密的设备将连接到为 StorageGRID 站点配置的外部密钥管理服务器( KMS )。每个 KMS (或 KMS 集群)负责管理站点上所有设备节点的加密密钥。这些密钥对启用了节点加密的设备中每个磁盘上的数据进行加密和解密。
可以在 StorageGRID 中安装 KMS 之前或之后在网格管理器中设置此设备。有关更多详细信息,请参见管理 StorageGRID 的说明中有关 KMS 和设备配置的信息。
-
如果在安装设备之前设置了 KMS ,则在设备上启用节点加密并将其添加到配置了 KMS 的 StorageGRID 站点时, KMS 控制的加密将开始。
-
如果在安装此设备之前未设置 KMS ,则在为包含此设备节点的站点配置了 KMS 并可使用此 KMS 后,将对启用了节点加密的每个设备执行 KMS 控制的加密。
启用了节点加密的设备连接到已配置的KMS之前存在的任何数据都将使用不安全的临时密钥进行加密。除非将密钥设置为 KMS 提供的值,否则设备不会受到删除或被盗的保护。 |
如果没有对磁盘进行解密所需的 KMS 密钥,则无法检索设备上的数据,并且数据实际上会丢失。如果无法从 KMS 中检索到解密密钥,则会出现这种情况。如果客户清除 KMS 配置, KMS 密钥过期,与 KMS 的连接断开或从安装了 KMS 密钥的 StorageGRID 系统中删除设备,则无法访问此密钥。
-
打开浏览器,然后输入设备计算控制器的 IP 地址之一。
https://Controller_IP:8443
Controller_IP
是三个StorageGRID 网络中任何一个网络上计算控制器(而不是存储控制器)的IP地址。此时将显示 StorageGRID 设备安装程序主页页面。
使用 KMS 密钥对设备加密后,如果不使用相同的 KMS 密钥,则无法对设备磁盘进行解密。 -
选择 * 配置硬件 * > * 节点加密 * 。
-
选择 * 启用节点加密 * 。
您可以取消选择*启用节点加密*而不会丢失数据、直到选择*保存*、并且设备节点访问StorageGRID 系统中的KMS加密密钥并开始磁盘加密为止。安装设备后,您无法禁用节点加密。
将启用了节点加密的设备添加到具有 KMS 的 StorageGRID 站点后,您无法停止对此节点使用 KMS 加密。 -
选择 * 保存 * 。
-
将设备部署为 StorageGRID 系统中的节点。
当设备访问为 StorageGRID 站点配置的 KMS 密钥时,便会开始使用由 KMS 控制的加密。安装程序会在 KMS 加密过程中显示进度消息,此过程可能需要几分钟时间,具体取决于设备中的磁盘卷数。
设备最初会配置一个随机的非 KMS 加密密钥,该密钥会分配给每个磁盘卷。磁盘会使用此临时加密密钥进行加密,这种加密密钥不安全,直到启用了节点加密的设备访问为 StorageGRID 站点配置的 KMS 密钥为止。
您可以查看节点加密状态, KMS 详细信息以及设备节点处于维护模式时正在使用的证书。