有关创建池的更多详细信息,请参见创建存储池 (CLI)。
创建池后,可以随时更改池密钥库和密钥名称值。但是,不能将加密信息添加到已创建为未加密的池中。
在加密池中创建的任何数据集也将加密。不能在加密池中创建未加密的项目或共享资源。
开始之前
要创建加密存储池,请升级到软件发行版 OS8.8.0 或更高版本并接受所有延迟更新,包括“启用池加密”。请参见Oracle ZFS Storage Appliance 客户服务手册中的启用池加密延迟更新。
必须先创建加密密钥,然后才能创建加密池。请参见数据加密。
由于必须先配置密钥库,然后再创建池,因此不能在进行初始系统配置时或在恢复出厂设置后创建加密池。
在为加密池中的共享资源或项目设置复制之前,请确保在源上使用的加密密钥在目标上也可用。
有关选择数据驱动器和元设备的更多信息,请参见创建存储池 (CLI)。
使用属性 encryption、keystore 和 keyname。
如果未配置密钥库,则属性 encryption、keystore 和 keyname 处于隐藏状态且不可变。必须先创建加密密钥,然后再创建池。请参见数据加密。
默认情况下,encryption 设置为 off。
hostname:configuration storage (pool1) config> ls
PROFILE CAPCTY NSPF DESCRIPTION
profile = mirror 4.92G no Mirrored
mirror3 4.92G no Triple mirrored
stripe 14.8G no Striped
encryption = off
keyname =
keystore =
设置加密类型(请参见了解加密密钥值)、密钥库和密钥名称。如果 encryption 不为 off,则必须设置 keystore 和 keyname。
hostname:configuration storage (pool1) config> set encryption=aes-128-ccm
encryption = aes-128-ccm
hostname:configuration storage (pool1) config> set keystore=LOCAL
keystore = LOCAL
hostname:configuration storage (pool1) config> set keyname=MyKey
keyname = MyKey
hostname:configuration storage config (pool1)> done
检查您的值。
hostname:configuration storage (pool1)> get encryption keystore keyname keystatus
encryption = aes-128-ccm
keystore = LOCAL
keyname = MyKey
keystatus = available
encryption 值选择后不可变。但是,可以随时更改 keystore 和 keyname 值。请参见更改池加密密钥 (CLI)。
尽管 keystore 和 keyname 值可以更改,但在此池下创建的所有项目都自动使用这些加密值进行加密。请参见创建加密项目 (CLI)。