本文提供有关戴尔 PowerEdge H710、H710P 和 H810 RAID 控制器的安全密钥和 RAID 管理的信息
目录:
- 安全密钥实施
- BIOS 配置实用程序中的安全密钥管理
- 创建安全密钥
- 更改安全密钥
- 删除安全密钥
- 创建安全虚拟磁盘
- 保护预先存在的虚拟磁盘
- 在控制器具有安全密钥的情况下创建不安全的虚拟磁盘
- 即时安全擦除
- 安全密钥错误故障排除
戴尔 PowerEdge RAID 控制器 (PERC) H710、H710P 和 H810 卡支持自加密磁盘 (SED),以防 SED 数据丢失或被盗。保护是通过在驱动器上使用加密技术来实现的。每个控制器有一个安全密钥。您可以在本地密钥管理 (LKM) 下管理安全密钥。可以使用 Dell OpenManage 将密钥暂存到文件中。控制器使用安全密钥来锁定和解锁对具有加密功能的物理磁盘的访问。要利用此功能,您必须:
- 在您的系统中具有 SED。
- 创建 (LKM) 安全密钥。
Dell OpenManage Storage Management 应用程序和控制器的 BIOS 配置实用程序 (<Ctrl><R>) 允许创建和管理安全密钥以及创建安全虚拟磁盘。以下部分介绍了特定于安全密钥管理的菜单选项,并提供了执行配置任务的详细说明。以下部分的内容适用于 BIOS 配置实用程序(<Ctrl><R>)。有关管理应用程序的更多信息,请参阅 主题 PERC 卡的管理应用程序。
从 BIOS 配置实用程序(<Ctrl><R>) 上的主菜单屏幕访问 RAID 控制器时,首先显示的是虚拟磁盘管理屏幕 VD Mgmt。以下是您可以通过虚拟磁盘管理菜单执行的安全相关操作:
- 安全密钥管理 — 创建、更改或删除控制器上的安全设置。
- 安全磁盘组 — 保护磁盘组中的所有虚拟磁盘。
物理磁盘管理屏幕 PD Mgmt显示物理磁盘信息和操作菜单。您可以通过物理磁盘管理菜单执行以下与安全相关的操作:
- 即时安全擦除 — 永久擦除具有加密功能的物理磁盘上的所有数据并重设
安全保护属性。
有关“物理磁盘管理”屏幕和“虚拟磁盘管理”屏幕的更多信息,请分别参阅 “物理磁盘管理 (PD Mgmt)”和“虚拟磁盘管理 ”主题。
本地密钥管理 (LKM):
- 您可以使用 LKM 生成保护虚拟磁盘所需的密钥 ID 和密码。您可以使用此安全模式来保护虚拟
磁盘、更改安全密钥和管理安全的外部配置。
提醒:在 LKM 下,系统会在您创建密钥时提示您输入密码。
使用戴尔合格自加密磁盘 (SED) 时,Dell™ PowerEdge™ RAID 控制器 (PERC) H710、H710P 和 H810 卡支持对驱动器上的数据进行加密。此功能可在驱动器被盗或丢失时为静态数据提供保护。每个控制器都有一个安全密钥,位于控制器内存中,可由用户进行管理(控制器上密钥管理)。控制器使用安全密钥来锁定和解锁对具有加密功能的物理磁盘的访问。要利用此功能,您需要在 PERC H710、PERC H710P 或 PERC H810 卡上创建安全密钥,并在系统中具有戴尔认可的 SED。
提醒:创建安全密钥时没有密码备份选项;您需要记住密码。如果忘记安全密钥,您将无法访问数据。
提醒:在控制器上创建安全密钥不会对任何虚拟磁盘上的数据进行加密。为了保护数据,需要单独保护虚拟磁盘。
要在 BIOS 配置实用程序中创建安全密钥,请执行以下操作:
- 在主机系统引导过程中,当显示 BIOS 屏幕时按 <Ctrl><R> 。将显示Virtual Disk Management(虚拟磁盘管理)屏幕。如果有多个控制器,将显示主菜单屏幕。选择一个控制器,然后按 <Enter 键>。显示选定控制器的Virtual Disk Management(虚拟磁盘管理)屏幕。
- 使用箭头键突出显示“安全密钥管理”。
- 按 <F2> 键显示您可以执行的操作。
- 选择 Create Key,然后按 <Enter键> 。
- 此时将显示创建安全密钥屏幕。光标位于安全密钥标识符处。
- 输入安全密钥的标识符。
- 按 <Tab键> 输入密码。
- 按 <Tab> 键并选择 OK接受设置并退出窗口。如果您不想在控制器上启用安全保护,请选择取消退出。
要更改安全密钥,您必须在控制器上存在先前建立的安全密钥,并在更改时提供当前密码。
提醒:如果控制器上有现有配置,则会使用新的安全密钥进行更新。如果您之前删除了任何安全磁盘,则仍需要提供旧密码才能导入它们。
要在 BIOS 配置实用程序中更改安全密钥,请执行以下操作:
- 在主机系统引导过程中,当显示 BIOS 屏幕时按 <Ctrl><R> 。将显示 Virtual Disk Management屏幕。如果有多个控制器,将显示主菜单屏幕。
- 选择控制器,然后按 Enter键<>。显示选定控制器的Virtual Disk Management(虚拟磁盘管理)屏幕。
- 使用箭头键突出显示“安全密钥管理”。
- 按 <F2> 键显示您可以执行的操作。
- 选择 Change Key,然后按 <Enter键> 。
- 此时将显示更改安全密钥屏幕。光标位于安全密钥标识符处。输入安全密钥的标识符。
- 按 <Tab键> 输入新密码。
- 按 <Tab> 键并选择 OK接受设置并退出窗口。如果您不想更改控制器上的安全密钥,请选择取消退出。
提醒:如果删除安全密钥,您将无法创建安全虚拟磁盘,并且将擦除所有未配置的安全自加密驱动器。但是,删除安全密钥不会影响外部磁盘中的安全或数据。
要在 BIOS 配置实用程序中删除安全密钥,请执行以下操作:
- 在主机系统引导过程中,当显示 BIOS 屏幕时按 <Ctrl><R> 。将显示Virtual Disk Management(虚拟磁盘管理)屏幕。
如果有多个控制器,将显示主菜单屏幕。
- 选择控制器,然后按 Enter键<>。显示选定控制器的Virtual Disk Management(虚拟磁盘管理)屏幕。
- 使用箭头键突出显示“安全密钥管理”。
- 按 <F2> 键显示您可以执行的操作。
- 选择 Delete Key,然后按 <Enter键> 。
安全虚拟磁盘是已锁定在控制器上的虚拟磁盘,它保存着安全密钥。要创建安全虚拟磁盘,控制器必须具有安全密钥,并且用户必须在创建虚拟磁盘期间或创建虚拟磁盘后选择保护虚拟磁盘的选项。安全虚拟磁盘的成员必须仅为 SED 潜水。
要创建安全虚拟磁盘,控制器必须首先建立安全密钥。请参阅主题创建安全密钥
提醒:不支持在虚拟磁盘中组合使用 SAS 和 SATA 硬盘。此外,不支持在虚拟磁盘中组合硬盘和固态硬盘 (SSD)。
建立安全密钥后,执行 创建虚拟磁盘 主题中概述的步骤以创建虚拟磁盘。
要保护虚拟磁盘,请导航至 Create New VD屏幕左下角区域中的 Secure VD选项。
提醒:添加到安全磁盘组的所有虚拟磁盘都受到保护。
要在 BIOS 配置实用程序中保护原有虚拟磁盘:
- 在主机系统引导过程中,当显示 BIOS 屏幕时按 <Ctrl><R> 。将显示Virtual Disk Management(虚拟磁盘管理)屏幕。如果有多个控制器,将显示主菜单屏幕。选择控制器,然后按 Enter键<>。显示选定控制器的Virtual Disk Management(虚拟磁盘管理)屏幕。
- 使用箭头键突出显示磁盘组编号。
- 按 <F2> 键显示可用操作的菜单。
- 突出显示安全磁盘组选项,然后按 <Enter键> 。
提醒:如果您选择保护磁盘组,则磁盘组的所有虚拟磁盘部分都将受到保护。
在 PERC H700/H800 或 H710/H710P/H810 卡上创建的安全虚拟磁盘可以迁移到另一个 PERC H710、H710P 或 H810 卡。使用不同于当前控制器安全密钥的安全密钥保护的虚拟磁盘,如果不对用于保护虚拟磁盘的原始密码进行身份验证,则无法导入虚拟磁盘。导入使用其他安全密钥创建的安全虚拟磁盘时,外部配置视图屏幕中不显示安全的外部配置。请按照以下步骤导入或清除外部安全虚拟磁盘。
提醒:如果您要导入安全和不安全的虚拟磁盘,系统会提示您首先解决安全的外部配置。
提醒:PERC H710、H710P 或 H810 卡需要具有安全密钥,然后才能导入安全虚拟磁盘。
提醒:导入的任何未受保护的虚拟磁盘仍未受保护。
提醒:如果您要导入最初使用本地密钥 (LKM) 保护的虚拟磁盘,系统会提示您输入用于保护该虚拟磁盘的密码。
提醒:无法使用 PERC H310 卡导入安全的虚拟磁盘。
导入外部安全虚拟磁盘时,请执行以下步骤:
提醒:要清除,您需要即时安全擦除使用其他安全密钥保护的外部配置。
提醒:用于保护外部安全虚拟磁盘的密码的密钥标识符显示在安全驱动器选项下。
- 在主机系统引导过程中,当显示 BIOS 屏幕时按 <Ctrl><R> 。
随即会显示 Virtual Disk Management 屏幕。
如果有多个控制器,则会显示主菜单屏幕。
- 选择控制器,然后按 Enter键<>。
随即显示选定控制器的 Virtual Disk Management(虚拟磁盘管理)屏幕。
- 按 <F2> 键显示可用操作的菜单。
- 选择Import以导入外部配置,或选择Clear以删除外部配置。按 Enter 键<<>。
如果您选择导入配置,将显示安全外部导入屏幕。
- 输入用于保护外部配置的密码。
- 按 <Tab> 键并选择 OK完成导入受保护的外部配置,或选择 Cancel退出此菜单。
如果为安全外部导入选择取消,则在导入或即时安全
擦除之前,磁盘仍然不可访问。请参阅即时安全擦除主题。
即时安全擦除过程可永久擦除具有加密功能的物理磁盘上的所有数据并
重置安全保护属性。您需要对由于丢失或忘记密码而无法访问(阻止)
的 SED 执行即时安全擦除。
提醒:执行即时安全擦除后,具有加密功能的物理磁盘上的数据将丢失。
要执行即时安全擦除,请执行以下操作:
- 按 <Ctrl><N> 访问 PD Mgmt屏幕。
随即会显示一个物理磁盘列表。在右侧菜单中,将显示物理磁盘属性,其中包括
有关物理磁盘是否安全的信息。
- 按向下箭头键高亮显示受保护的物理磁盘。
- 按 <F2> 键显示可用操作的菜单。
- 安全擦除选项在菜单底部突出显示。
- 按 <Enter 键> 安全擦除物理磁盘,然后选择是。
安全外部配置导入错误
外部配置是您在系统中安装的更换物理磁盘上已经存在的 RAID 配置。安全外部配置是在不同安全密钥下创建的 RAID 配置。
在两种情况下,安全外部导入失败:
- 密码身份验证失败 — 如果不对用于保护虚拟磁盘的原始密码进行身份验证,则无法导入使用与当前控制器安全密钥不同的安全密钥保护的虚拟磁盘。提供正确的密码以导入安全的外部配置。如果您丢失或忘记了密码,
受保护的外部磁盘将保持锁定(无法访问),直到输入相应的密码或即时安全擦除它们。
- 在提供正确的密码后,受保护的虚拟磁盘处于离线状态 — 您必须进行检查以确定虚拟磁盘发生故障的原因并纠正问题。请参阅 主题故障处理 。
无法选择或配置非自加密磁盘(非 SED)
虚拟磁盘可以是受保护的,也可以是不受保护的,具体取决于创建时的配置方式。要创建安全虚拟磁盘,控制器必须具有安全密钥,并且必须仅由 SED 组成。要选择/配置非 SED,您必须创建一个未启用安全保护的虚拟磁盘。即使存在安全密钥,您也可以创建未加密的虚拟磁盘。在 Create New VD菜单中,选择 Secure VD选项作为 No。有关如何创建未加密虚拟磁盘的步骤,请参阅 创建虚拟磁盘 主题。
无法删除安全密钥
安全密钥用于锁定或解锁对启用安全性的组件的访问。此密钥不会用于实际的数据加密。如果存在安全密钥,则可能同时存在安全和不安全的虚拟磁盘。
要删除安全密钥,控制器上必须存在以前建立的安全密钥,并且不能存在
任何已配置的安全磁盘。如果存在已配置的安全磁盘,请移除或删除它们。
即时安全擦除物理磁盘任务失败
即时安全擦除过程可安全地擦除具有加密功能的物理磁盘上的所有数据并重置安全保护属性。它用于多种情况,例如在忘记或丢失密码的情况下删除外部配置,或者解锁先前锁定的磁盘。
即时安全擦除只能在具有加密功能的磁盘上执行,前提是这些磁盘不是热备盘且未配置(虚拟磁盘的一部分)。确保满足这些条件,并参阅即时安全擦除主题。