Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

磁碟區的資料完整性與資料安全性

貢獻者
PDF

您可以讓磁碟區使用資料保證(DA)功能和磁碟機安全功能。這些功能會顯示在System Manager的Pool和Volume群組層級。

資料保證

資料保證(DA)實作T10保護資訊(PI)標準、藉由檢查及修正在I/O路徑傳輸資料時可能發生的錯誤、來提升資料完整性。「資料保證」功能的一般用途是檢查控制器與磁碟機之間I/O路徑的部分。系統管理員的資源池和磁碟區群組層級會顯示DA功能。

啟用此功能時、儲存陣列會將錯誤檢查代碼(也稱為循環備援檢查或CRC)附加到磁碟區中的每個資料區塊。資料區塊移動之後、儲存陣列會使用這些CRC代碼來判斷傳輸期間是否發生任何錯誤。可能毀損的資料既不會寫入磁碟、也不會傳回主機。如果您要使用DA功能、請在建立新的Volume時選取具有DA功能的集區或Volume群組(請在Pool and Volume Group候選人表格中尋找「DA」旁邊的「Yes」(是))。

請務必使用能夠執行DA的I/O介面、將這些啟用DA的磁碟區指派給主機。具備DA功能的I/O介面包括光纖通道、SAS、TCP/IP iSCSI、NVMe / FC、NVMe / IB、 適用於InfiniBand的NVMe/RoCE和iSER(適用於RDMA/IB的iSCSI擴充功能)。SRP不支援DA over InfiniBand。

磁碟機安全性

磁碟機安全功能可防止在從儲存陣列移除時、未獲授權存取啟用安全功能之磁碟機上的資料。這些磁碟機可以是完整磁碟加密(FDE)磁碟機、也可以是通過認證符合美國聯邦資訊處理標準140-2第2級(FIPS磁碟機)的磁碟機。

磁碟機安全性如何在磁碟機層級運作

具有安全功能的磁碟機(FDE或FIPS)會在寫入期間加密資料、並在讀取期間解密資料。此加密和解密不會影響效能或使用者工作流程。每個磁碟機都有其專屬的加密金鑰、永遠無法從磁碟機傳輸。

磁碟機安全性如何在磁碟區層級運作

當您從具有安全功能的磁碟機建立集區或磁碟區群組時、也可以針對這些集區或磁碟區群組啟用「磁碟機安全性」。「磁碟機安全性」選項可讓磁碟機及相關的磁碟區群組和集區安全無虞、而且啟用安全無虞。集區或磁碟區群組可同時包含具有安全功能和不安全功能的磁碟機、但所有磁碟機必須具備安全功能、才能使用其加密功能。

如何實作磁碟機安全性

若要實作磁碟機安全性、請執行下列步驟。

  1. 為您的儲存陣列配備可安全使用的磁碟機、包括FDE磁碟機或FIPS磁碟機。(對於需要FIPS支援的磁碟區、請僅使用FIPS磁碟機。在磁碟區群組或集區中混合使用FIPS和FDE磁碟機、將會將所有磁碟機視為FDE磁碟機。此外、FDE磁碟機無法新增至All FIPS Volume群組或Pool、也無法作為備援磁碟機使用。)

  2. 建立安全金鑰、這是控制器和磁碟機共用的字元字串、用於讀取/寫入存取。您可以從控制器的持續記憶體建立內部金鑰、或從金鑰管理伺服器建立外部金鑰。若要管理外部金鑰、必須使用金鑰管理伺服器建立驗證。

  3. 為集區和磁碟區群組啟用磁碟機安全性:

    • 建立集區或磁碟區群組(請在候選資料表的「安全功能」欄中尋找*「是」)。

    • 當您建立新的Volume時、請選取資源池或Volume群組(請在「資源池和Volume群組候選項目」表中、尋找「安全功能」旁邊的*「是*」)。

有了磁碟機安全功能、您就能建立安全金鑰、並在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。只要關閉和開啟磁碟機的電源、安全啟用的磁碟機就會變更為安全鎖定狀態、直到控制器套用安全金鑰為止。