VSM 6.1 和更高版本支持对磁盘机框磁盘驱动器上的静态数据进行加密的功能。启用此功能时,Solaris 11.1 ZFS 执行实际加密。Solaris ZFS 已通过 FIPS 140-2 认证。
服务人员通过从 VSM 6 系统的节点 1 上的命令 shell 运行实用程序来启用该加密功能。仅当关闭 VSM 6 应用程序时才能运行该功能实用程序。
对于没有客户数据的新安装,启用或禁用加密仅需几分钟。
对于已经具有客户数据的现有 VSM 6,仅当磁盘机框阵列的当前利用率小于总物理容量的 45% 时才能启用加密功能。
转换现有数据(从未加密到加密或者从加密到未加密)时,大约每 TB 物理数据需要 105 分钟。
启用 VTV 静态数据加密后,以下事实对于系统其余部分基本是透明的:在数据写入磁盘之前加密数据,在读取数据时解密数据。吞吐量性能下降不到 5%
启用加密功能后,加密授权密钥存储在镜像服务器的 rpool 磁盘驱动器中的固定位置,并在 USB 存储设备上创建备份副本。启用此功能时,USB 存储设备需要处于可用状态。
创建加密授权密钥时,仅须将一个 USB 存储设备插入 VSM 6 节点 1 USB 端口。如果发现多个 USB 存储设备,密钥创建将失败。
如果加密授权密钥在镜像服务器的 rpool 磁盘中丢失,则系统会提供一个脚本,用于从创建或更改该密钥时用于备份的 USB 存储设备中恢复密钥。
如果由于不存在加密授权密钥而无法挂载客户数据文件系统,VSM6 应用程序将无法启动。
所使用的 ZFS 支持的加密算法为 AES-256-CCM。授权密钥为 256 位文件,由 pktool(1) 实用程序生成,由加密功能实用程序调用。
对启用加密的 VSM 6 的容量升级将仅增加磁盘机框阵列存储的存储大小,同时保留升级时存在的加密设置。
对 VSM 6 的软件升级将保留存储在镜像服务器的 rpool 磁盘驱动器上的加密授权密钥。
VSM 6 CLI 和服务 GUI 将指示是否启用加密功能。
服务 GUI 允许服务人员更改加密授权密钥。更改该密钥不会使对更改之前存储的任何 VTV 数据的访问权限失效。更改该密钥仅使先前的加密授权密钥过时,然后生成验证对加密的 VTV 文件系统的访问权限所需的新密钥。更改密钥(例如在创建时)时,需要提供一个 USB 存储设备,作为存储在镜像服务器 rpool 磁盘驱动器中的密钥的备份位置。
加密授权密钥存储在两个服务器上的镜像 rpool 磁盘驱动器上。密钥将位于 /lib/svc/method/application/vsm/.vsm_keystore 目录中。密钥的文件名格式将为 _yyymmddhhmmssnnn.key。以前生成的密钥将保留在同一目录中。只要创建或更改密钥,此目录中的所有生成密钥都将备份到 USB 存储设备。