本文提供 Dell PowerEdge H710、H710P 和 H810 RAID 控制器的安全金鑰和 RAID 管理相關資訊
目錄:
- 安全性金鑰實作
- BIOS 設定公用程式中的安全性金鑰管理
- 建立安全金鑰
- 變更安全金鑰
- 刪除安全金鑰
- 建立安全的虛擬磁碟
- 固定預先存在的虛擬磁碟
- 在控制器有安全性金鑰時建立不安全的 VD
- 即時安全清除
- 故障診斷安全性金鑰錯誤
Dell PowerEdge RAID 控制器 (PERC) H710、H710P 和 H810 卡支援自我加密磁碟 (SED),可保護資料免於 SED 遺失或遭竊。保護是透過在磁碟機上使用加密技術來實現。每個控制器各有一個安全金鑰。您可以在本機金鑰管理 (LKM) 底下管理安全金鑰。可使用 Dell OpenManage 將金鑰管理至檔案中。控制器會使用安全性金鑰來鎖定和解除鎖定支援加密功能的實體磁碟。若要使用此功能,您必須:
- 系統中已有 SED。
- 建立 (LKM) 安全金鑰。
Dell OpenManage 儲存管理應用程式和控制器的 BIOS 設定公用程式 (<Ctrl><R>) 可讓您建立和管理安全性金鑰,以及建立受保護的虛擬磁碟。下節說明安全金鑰管理專屬的功能表選項,並提供執行組態工作的詳細指示。下列章節的內容適用於 BIOS 設定公用程式 (<Ctrl><R>)。如需管理應用程式的詳細資訊,請參閱 PERC 介面卡的管理應用程式主題。
當您從 BIOS 設定公用程式 (<Ctrl><R>) 的主功能表畫面存取 RAID 控制器時,虛擬磁碟管理畫面 VD Mgmt。以下是您可以透過「虛擬磁碟管理」功能表執行的安全性相關動作:
- 安全金鑰管理 — 建立、變更或刪除控制器上的安全性設定。
- 安全磁碟群組—保護磁碟群組中的所有虛擬磁碟。
實體磁碟管理畫面 PD Mgmt,會顯示實體磁碟資訊和動作功能表。以下是您可以透過「實體磁碟管理」功能表執行的與安全性相關的動作:
- 即時安全清除 — 永久清除支援加密的實體磁碟上的所有資料,並重設
安全性屬性。
如需實體磁碟管理畫面和虛擬磁碟管理畫面的詳細資訊,請分別參閱 主題實體磁碟管理 (PD Mgmt) 和虛擬磁碟管理 。
本機金鑰管理 (LKM):
- 您可以使用 LKM 產生保護虛擬磁碟所需的金鑰 ID 和密碼片語。您可以使用此安全性模式來保護虛擬
磁碟、變更安全金鑰,以及管理安全的外部組態。
注意:在 LKM 下,建立金鑰時,系統會提示您輸入密碼片語。
使用 Dell 認證的自我加密磁碟 (SED) 時,Dell™ PowerEdge™ RAID 控制器 (PERC) H710、H710P 和 H810 卡支援磁碟機上的資料加密。此功能可在磁碟機遭竊或遺失時,為待用資料提供保護。每個控制器中都有一個安全金鑰,位於控制器記憶體中,可由使用者管理 (控制器上的金鑰管理)。控制器會使用安全性金鑰來鎖定和解除鎖定支援加密功能的實體磁碟。若要使用此功能,您必須在 PERC H710、PERC H710P 或 PERC H810 卡上建立安全性金鑰,且系統中必須有 Dell 認證的 SED。
注意:創建安全金鑰時沒有密碼備份選項;您需要記住密碼。如果忘記安全金鑰,您將無法存取資料。
注意:在控制器上建立安全性金鑰不會加密任何 VD 上的資料。為了保護數據,VD 需要單獨保護。
若要在 BIOS 設定公用程式中建立安全性金鑰:
- 在主機系統開機期間,請在 BIOS 畫面顯示時按下 <Ctrl><R> 。隨即顯示虛擬磁碟管理畫面。如果有多個控制器,則會顯示主功能表畫面。選取控制器,然後按下 Enter> 鍵<。會顯示所選控制器的虛擬磁碟管理畫面。
- 使用方向鍵反白顯示安全性金鑰管理。
- 按 <F2> 顯示可以執行的操作。
- 選擇建立金鑰,然後按 Enter> 鍵<。
- 建立安全性金鑰畫面隨即顯示。游標位於安全金鑰識別碼。
- 輸入安全金鑰的識別碼。
- 按下 <Tab> 鍵以輸入密碼片語。
- 按下 <Tab> 鍵並選取確定以接受設定並結束視窗。如果您不想在控制器上啟用安全性,請選取取消。
要更改安全金鑰,控制器上必須存在先前建立的安全密鑰,並在更改時提供當前密碼。
注意:如果控制器上已有組態,則會使用新的安全性金鑰進行更新。如果之前已刪除任何安全磁碟,則仍需要提供舊密碼以導入它們。
若要在 BIOS 設定公用程式中變更安全性金鑰:
- 在主機系統開機期間,請在 BIOS 畫面顯示時按下 <Ctrl><R> 。隨即顯示虛擬磁碟管理畫面。如果有多個控制器,則會顯示主功能表畫面。
- 選擇一個控制器,然後按 <Enter> 鍵。會顯示所選控制器的虛擬磁碟管理畫面。
- 使用方向鍵反白顯示安全性金鑰管理。
- 按 <F2> 顯示可以執行的操作。
- 選擇「更改金鑰」,然後按 <Enter> 鍵。
- 隨即會顯示變更安全金鑰畫面。游標位於安全金鑰識別碼。輸入安全金鑰的識別碼。
- 按下 <Tab> 鍵輸入新密碼片語。
- 按下 <Tab> 鍵並選取確定以接受設定並結束視窗。如果您不想變更控制器上的安全性金鑰,請選取取消以退出。
注意:若刪除安全金鑰,您將無法建立安全的虛擬磁碟,且所有未設定的安全自我加密磁碟機都將遭清除。但是,刪除安全金鑰不會影響外部磁碟的安全性或數據。
若要在 BIOS 設定公用程式中刪除安全性金鑰:
- 在主機系統開機期間,請在 BIOS 畫面顯示時按下 <Ctrl><R> 。隨即顯示虛擬磁碟管理畫面。
如果有多個控制器,則會顯示主功能表畫面。
- 選擇一個控制器,然後按 <Enter> 鍵。會顯示所選控制器的虛擬磁碟管理畫面。
- 使用方向鍵反白顯示安全性金鑰管理。
- 按 <F2> 顯示可以執行的操作。
- 選擇「刪除金鑰」,然後按 <Enter> 鍵。
受保護的虛擬磁碟是已鎖定在保存安全金鑰的控制器上的虛擬磁碟。若要建立安全的虛擬磁碟,控制器必須具有安全性金鑰,而且使用者必須在建立 VD 期間或建立 VD 後選取保護虛擬磁碟的選項。受保護虛擬磁碟的成員必須為僅 SED dives。
若要建立安全的虛擬磁碟,控制器必須先建立安全性金鑰。請參閱主題建立安全金鑰
注意:不支援在虛擬磁碟中組合 SAS 和 SATA 硬碟。此外,不支援在虛擬磁碟中結合硬碟和固態硬碟 (SSD)。
建立安全金鑰後,請執行 建立虛擬磁碟 主題中列出的步驟,以建立虛擬磁碟。
若要保護虛擬磁碟,請瀏覽至建立新 VD 畫面左下方區域的安全 VD 選項。
注意:所有新增至安全磁碟群組的虛擬磁碟皆受到保護。
若要在 BIOS 設定公用程式中保護預先存在的虛擬磁碟:
- 在主機系統開機期間,請在 BIOS 畫面顯示時按下 <Ctrl><R> 。隨即顯示虛擬磁碟管理畫面。如果有多個控制器,則會顯示主功能表畫面。選擇一個控制器,然後按 <Enter> 鍵。會顯示所選控制器的虛擬磁碟管理畫面。
- 使用方向鍵反白顯示磁碟群組編號。
- 按 <F2> 以顯示可用操作的功能表。
- 反白顯示安全磁碟群組選項,然後按 Enter> 鍵<。
注意:如果您選取保護磁碟群組,則會保護該磁碟群組的所有 VD。
在 PERC H700/H800 或 H710/H710P/H810 卡上建立的安全虛擬磁碟,可遷移至另一張 PERC H710、H710P 或 H810 卡。若使用不同於目前控制器安全金鑰之安全性金鑰保護的虛擬磁碟,若未驗證用於保護虛擬磁碟的原始密碼片語,便無法匯入。匯入使用不同安全金鑰建立的安全虛擬磁碟時,受保護的外部配置不會顯示在「外部配置檢視」 螢幕中。請按照以下步驟匯入或清除外部安全虛擬磁碟。
注意:如果您要匯入安全和不安全的虛擬磁碟,系統會提示您先解決安全的外部組態。
注意:PERC H710、H710P 或 H810 卡必須具有安全性金鑰,才能匯入受保護的虛擬磁碟。
注意:匯入的任何不安全虛擬磁碟仍為不安全磁碟。
注意:如果您要匯入原本使用本機金鑰 (LKM) 保護的虛擬磁碟,系統會提示您輸入用來保護該虛擬磁碟的密碼片語。
注意:安全的 VD 無法使用 PERC H310 卡匯入。
匯入外部安全虛擬磁碟時,請執行下列步驟:
注意:若要清除,您需要即時安全清除使用不同安全金鑰固定的外部組態。
注意:用於保護外部安全虛擬磁碟的密碼片語金鑰識別碼會顯示在安全的磁碟機選項下。
- 在主機系統開機期間,請在 BIOS 畫面顯示時按下 <Ctrl><R> 。
隨即顯示「虛擬磁碟管理」畫面。
如果有多個控制器,則會顯示主功能表畫面。
- 選擇一個控制器,然後按 <Enter> 鍵。
會顯示所選控制器的「虛擬磁碟管理」畫面。
- 按 <F2> 顯示可用操作的功能表。
- 選取匯入以匯入外部組態,或清除以刪除外部組態。按 <<Enter> 鍵。
如果您選取匯入組態,則會顯示安全的外部匯入畫面。
- 輸入用來保護外部組態的密碼片語。
- 按下 <Tab 並> 選取確定以完成匯入受保護的外部組態,或選取取消以結束此功能表。
如果您為有擔保的外部匯入選取「取消」,則在匯入或立即安全
清除之前,磁碟仍無法存取。請參閱主題 即時安全清除 。
即時安全清除是永久清除支援加密的實體磁碟上的所有資料並
重設安全性屬性的過程。您需要在因
遺失或忘記密碼片語而無法存取 (封鎖) 的 SED 上執行即時安全清除。
注意:執行即時安全清除後,可加密實體磁碟上的資料就會遺失。
若要執行即時安全清除:
- 按下 <Ctrl><N> 以存取 PD 管理畫面。
實體磁碟清單隨即顯示。右側功能表會顯示實體磁碟屬性,包括
實體磁碟是否安全的相關資訊。
- 按下向下方向鍵以反白顯示受保護的實體磁碟。
- 按 <F2> 顯示可用操作的功能表。
- 選單底部會反白顯示「安全清除」選項。
- 按下 <Enter> 鍵以安全清除實體磁碟,然後選取是。
擔保的外部匯入錯誤
外部組態是安裝在系統中的更換實體磁碟上已存在的 RAID 組態。受保護的外部組態是在不同安全性金鑰下建立的 RAID 組態。
在兩種情況下,受保護的外部導入將失敗:
- 密碼片語認證失敗 — 若未驗證用於保護密碼片語的原始密碼片語,就無法匯入使用不同於目前控制器安全金鑰之安全金鑰保護的 VD。提供正確的密碼以匯入受保護的外部組態。如果您已遺失或忘記密碼片語,
受保護的外部磁碟將保持鎖定 (無法存取),直到輸入適當的密碼片語或是即時安全清除為止。
- 提供正確的密碼片語後,受保護的 VD 會處於離線狀態 — 您必須檢查以判斷虛擬磁碟故障的原因並修正問題。請參閱疑 難解答 主題。
無法選取或設定非自我加密磁碟 (非 SED)
虛擬磁碟可以是安全的,也可以是不安全的,具體取決於創建時的配置方式。若要建立安全的虛擬磁碟,控制器必須具有安全性金鑰,且必須僅由 SED 組成。若要選取/設定非 SED,您必須建立不安全的虛擬磁碟。即使有安全性金鑰,您仍可建立不安全的虛擬磁碟。在建立新 VD 功能表中,將安全 VD 選項選取為否。有關如何建立不安全虛擬磁碟的步驟,請參閱 建立虛擬磁碟 主題。
無法刪除安全性金鑰
安全金鑰可用來鎖定或解除鎖定啟用安全性元件的存取權限。此金鑰不會用於實際的資料加密。如果有安全金鑰,則可能同時存在安全和不安全的虛擬磁碟。
若要刪除安全金鑰,控制器上必須有先前建立的安全金鑰,而且不能有任何
已設定的安全磁碟。如果有設定的安全磁碟,請移除或刪除這些磁碟。
無法在實體磁碟上即時安全清除工作
即時安全清除程式是在具備加密功能的實體磁碟上安全地永久清除所有資料,並重設安全性屬性。它用於幾種情況,例如在忘記或遺失密碼片語時刪除外部組態,或是解除鎖定先前已鎖定的磁碟。
只要磁碟不是熱備援且未設定(虛擬磁碟的一部分),即時 Secure Erase 只能在具備加密功能的磁碟上執行。請確定符合條件,並參閱「即時安全清除」主題。