Reference Guide

● Encrypted — 驱动器已加密。这是一体机中的驱动器的典型状态，能够执行加密。

● Encrypting — 一体机正在该驱动器上启用加密。在一体机上的初始激活加密或将新驱动器添加到配置的一体机期间，可以看到此

状态。

● Disabled — 由于特定于国家/地区的进口限制，驱动器不能启用加密。如果任何驱动器报告此状态，则群集中的所有驱动器也将

报告相同的状态。

● Unknown — 一体机尚未尝试在驱动器上启用加密。在一体机上的初始激活加密或将新驱动器添加到配置的一体机期间，可以看

到此状态。

● Unsupported — 该驱动器不支持加密。

● Foreign — 该驱动器支持加密，但已经被另一个一体机锁定。它需要先解除锁定，然后才能使用。

密钥管理

在每个 PowerStore 设备的活动节点上运行着一项嵌入式密钥管理器服务 (KMS)。此服务管理着本地密钥库文件密码箱存储，以支持

将密钥自动加密备份到系统和引导驱动器。它还控制设备上的自加密驱动器 (SED) 锁定和解锁过程，并负责管理设备的本地密钥库

内容。本地密钥库文件使用一个 256 位 AES 密钥加密，密钥库文件密码箱存储利用 RSA 的 BSAFE 技术。

在设备初始化期间，KMS 会自动为 SED 生成随机身份验证密钥。每个驱动器（包括稍后添加到设备的那些）都有一个唯一的身份验

证密钥，在 SED 锁定和解锁过程中使用。密钥加密密钥将加密密钥库文件存储中、以及在设备内传输的身份验证和加密密钥。介质

加密密钥存储在 SED 专用硬件上，而且无法访问。启用加密时，所有身份验证密钥均存储在设备中。

密钥库备份文件

KMS 支持创建和下载脱离设备的密钥库归档文件备份。脱离设备的备份可减少密钥丢失这种灾难事件的发生可能性，密钥丢失会导

致一个设备或整个群集不可用。如果在启动群集密钥库备份时某个特定的设备不可用，总体操作将会成功完成，但会发出一条警

告，指出备份并未包含群集中全部设备的密钥库文件，应在离线的设备可用时重试此操作。

注: 群集中的主设备包含群集密钥库归档文件，其中包含在群集中发现的每个设备（包括主设备）的密钥库备份拷贝。

当对群集内一个系统的配置的更改导致更改了密钥库时，建议您生成新的密钥库归档文件供下载。每次只能运行一个密钥库归档文

件的备份下载操作。

注: 极力议您将生成的密钥库归档文件下载到外部一个安全的位置。如果一个系统上的密钥库文件损坏并且无法访问，则该系统

将进入服务模式。此时，需通过密钥归档文件和一次支持服务来解决问题。

备份密钥库归档文件需要具备管理员或存储管理员用户角色。要备份密钥库归档文件，请单击 Settings，并在 Security 下选择

Encryption。在 Encryption 页面上，在 Lockbox Backup 之下单击 Download Keystore Backup。

注: 要在发生故障时恢复密钥库备份，请联系您的服务提供商。

在启用加密的设备中重新调整驱动器用途

关于此任务

自加密驱动器 (SED) 在设备初始化时或者在插入到一个已经初始化的设备中时将被锁定。在没有先解锁的情况下，无法在另一个系

统中使用该驱动器。当锁定的驱动器插入到另一不同的设备中时，其加密状态在新设备中显示为 Foreign。可针对新设备重新调整

该驱动器的用途，但驱动器上的所有现有数据都将丢失。

要将设备上加密状态显示为 Foreign 的驱动器重新调整用途，请执行以下操作：

步骤

1. 记录位于驱动器背面标签上的 PSID（物理安全性 ID）。在重新调整用途过程中必须提供 PSID。

2. 在 PowerStore Manager 中，单击 Hardware，选择该设备，然后选择 Hardware 卡。

3. 选择要重新调整用途的驱动器。

该驱动器的 Encryption Status 应显示为 Foreign。

4. 单击 Repurpose Drive。

Repurpose Drive 滑轨即出现。

数据安全设置