所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置内置密管

配置内置密管

启用内置密钥管理服务并进行相应的配置后,加密硬盘域的密钥将会存储在存储系统内置的数据库中。

前提条件

存储系统上已配置加密硬盘,且加密硬盘的“AutoLock”状态为“未启用”。

登录存储系统的CLI管理界面,运行show disk general查询加密硬盘的“AutoLock”状态。

admin:/>show disk general  ID        Health Status  Running Status  Type  Capacity   Role       Disk Domain ID  Speed(RPM)  Health Mark  Bar Code              Item      AutoLock State     
 --------  -------------  --------------  ----  ---------  ---------  --------------  ----------  -----------  --------------------  --------  --------------    
DAE000.0  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FB000131  02350LGX  OFF           
DAE000.1  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FB000124  02350LGX  OFF           
DAE000.2  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FB000238  02350LGX  OFF           
DAE000.3  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FA000228  02350LGX  OFF           
DAE000.4  Normal         Online          SSD-SED   371.965GB  Free Disk  --              --          --           2102350LGX10FA000227  02350LGX  OFF           
DAE000.5  Normal         Online          SSD-SED   371.965GB  Free Disk  --              --          --           2102350LGX10FA000187  02350LGX  OFF           
DAE100.0  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FA000159  02350LGX  OFF           
DAE100.1  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FA000161  02350LGX  OFF           
DAE100.2  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10G3000505  02350LGX  OFF          
 DAE100.3  Normal         Online          SSD-SED   366.965GB  Free Disk  --              --          --           2102350LGX10FA000182  02350LGX  OFF           
DAE100.4  Normal         Online          SSD-SED   371.965GB  Free Disk  --              --          --           2102350LGX10G3000511  02350LGX  OFF        

当“AutoLock State”的回显值为“OFF”时,说明硬盘加密功能未启用。

操作步骤

  1. 登录DeviceManager。
  2. 启用并设置内置密钥管理服务。

    1. 选择“设置 >存储设置 > 增值服务设置 > 密钥服务”。

      系统进入“密钥管理”对话框。

    2. 选择“启用内置密钥管理服务”。
    3. 可选: 设置密钥备份策略。

      当密钥发生改变时,存储系统自动触发将密钥信息备份到备份服务器上,以防止密钥损坏时可以进行恢复。

      使用密钥备份功能时,请确保已经成功部署备份服务器,且备份服务器与存储系统通信正常。存储系统支持的SSH协议密钥交换算法如表2-1所示。部署备份服务器时,请选择支持这些密钥交换算法的sftp server工具,例如xlight FTP工具。

      表2-1 SSH协议密钥交换算法

      加固项

      默认值

      KexAlgorithms

      • ecdh-sha2-nistp256
      • ecdh-sha2-nistp384
      • ecdh-sha2-nistp521
      • diffie-hellman-group-exchange-sha256
      • diffie-hellman-group-exchange-sha1
      • diffie-hellman-group14-sha1
      说明:

      xlight FTP工具的具体使用方法请参见使用xlight FTP工具部署FTP备份服务器

      1. 选择“密钥备份”后的“启用”,启用密钥备份。
      2. 设置密钥备份策略相关的参数,如表2-2所示。
        表2-2 密钥备份相关参数

        参数名称

        参数说明

        参数设置

        协议

        存储系统将密钥信息备份到备份服务器时使用的传输协议。

        可选择“SFTP”和“FTP”。

        说明:

        出于兼容性考虑,存储系统保留了对FTP协议的支持。为了保证传输数据的安全,推荐使用SFTP协议。

        备份服务器地址

        用于备份密钥的SFTP或FTP服务器的IP地址或者域名。

        [示例]

        192.168.20.3

        备份服务器存储路径

        备份服务器上用于保存密钥信息的路径。

        [示例]

        innerkey_backup

        用户名

        用于登录备份服务器的用户名。

        [示例]

        admin

        密码

        用于登录备份服务器的密码。

        [示例]

        Admin@123

        端口

        备份服务器与存储系统的通信端口。

        [取值范围]

        1~65535

        [示例]

        20

      3. 单击“测试”,测试备份服务器与存储系统之间的连通性。
    4. 单击“保存”,保存内置密钥服务的配置信息。
    • 当未启用“密钥备份”时,系统弹出高危提示框,勾选“我已阅读上述信息,了解执行此操作带来的后果。”,并单击“确定”。系统弹出“执行结果”,提示操作成功。
    • 当启用“密钥备份”时,系统弹出“执行结果”,提示操作成功。

  3. 创建加密硬盘域,在存储系统上自动生成加密密钥。

    1. 选择“资源分配 >硬盘域”。
    2. 单击“创建”。

      系统弹出“创建硬盘域”对话框,如图2-1所示。

      图2-1 创建硬盘域

    3. 设置硬盘域的名称和描述。
      1. 在“名称”中输入待创建硬盘域的名称。
        说明:
        • 名称不能重复。
        • 只能包含字母、数字、“.”、“_”、“-”和中文字符。
        • 长度为1~31个字符(1个中文字符占3个字符长度)。
      2. 在“描述”中输入待创建硬盘域的用途、属性等,用于标识该硬盘域。
    4. 将“加密类型”设置为“加密硬盘域”。
    5. 选择组成硬盘域的硬盘所属的控制框,并设置硬盘域的“热备策略”。
      • 选择“默认选择”,存储系统将所有控制框下的所有加密硬盘创建为一个硬盘域。
      • 选择“手动选择”,选择组成硬盘域的加密硬盘所属的控制框。
      说明:

      此时,可以创建多个硬盘域。

    6. 单击“确定”。

      系统弹出操作成功提示信息。

    7. 单击“确定”,完成硬盘域创建。

      硬盘域创建完成后,可以选择“资源分配 >硬盘域”,在信息展示区查看当前硬盘域中硬盘的“AutoLock”状态为“开启”。

  4. 导出加密密钥。

    1. 选择“设置 >存储设置 > 增值服务设置 > 密钥服务”。
    2. 单击“导出内置密钥”,通过浏览器手动导出密钥文件。
    说明:

    导出的密钥文件请妥善保存,且禁止做任何修改。以便密钥毁坏时,通过导入该文件进行恢复。

后续处理

  • 配置加密硬盘域后,通过创建LUN将存储空间分配给应用服务器使用。具体的操作请参见对应产品型号的《基础存储业务配置指南》。
说明:

您可以直接登录华为技术有限公司技术支持网站(http://support.huawei.com/enterprise/),在搜索栏中,输入“产品型号+空格+文档名称”,检索、浏览和下载对应版本的文档。

  • 加密硬盘域密钥更新时,请及时执行导出密钥的操作。
翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8671

下载量:64

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页