跳转到主内容

常见问题解答: NetApp 卷加密和 NetApp 聚合加密

Views:
117
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

可不使用  

适用场景

  • 管理
  • ONTAP 9

问题解答

概述

NetApp 卷加密( NVE )是一款基于软件的、基于数据即用的加密解决方案,从 NetApp ONTAP 9.1 管理软件开始提供。NVE 允许 ONTAP 对数据进行加密并将数据存储在磁盘上、而不需要自加密驱动器。此外、 NVE 还允许客户使用存储效率功能、如果客户决定在应用程序层进行加密,这些功能将会丢失。客户可以将任何现有磁盘与 NVE 配合使用、该磁盘还包括用于双加密或分层加密的 NetApp 存储加密( NSE )驱动器。NVE 和 NAE 是唯一可用于在 NetApp MetroCluster 软件和 ONTAP Select 中加密数据的选项。

从 ONTAP 9.6 开始, NetApp 聚合加密( NAE )是对基于软件的 NVE 空闲数据解决方案的一项增强功能,它允许 ONTAP 使用为聚合共享的密钥对每个卷的数据进行加密。通过 NAE ,您可以使用聚合重复数据删除来提高存储效率。

  1. 解决方案概述

NVE 和 NAE 由软件加密模块( CryptoMod ),加密密钥和密钥管理器组成。

  1. 软件 CryptoMod

软件 CryptoMod 可执行数据加密操作并为卷生成加密密钥(请参见图 1 )。

图 1 ) NVE 和 NAE 加密 / 解密流



CryptoMod 会在 RAID 层执行数据加密,从而可以提高存储效率。执行读取操作后、数据离开 RAID 层时不会加密数据。

  1. 加密密钥

使用 NVE 时,会为每个卷生成唯一的 XTS-AES-256 数据加密密钥。使用 NAE 时,会为每个聚合生成唯一的 XTS-AES-256 数据加密密钥,以对 NAE 卷进行加密。  使用板载密钥管理器( OKM )时,会使用加密密钥层次结构对所有卷或聚合密钥进行加密和保护。这些加密密钥永远不会以未加密的格式显示、显示或报告。

  1. 密钥管理器

加密密钥存储在密钥管理器中,该管理器会跟踪 ONTAP 使用的所有加密密钥。密钥管理器可以是板载密钥管理器( OKM )或使用 OASIS 密钥管理互操作性协议( KMIP )的外部密钥管理器。

  1. 与 NetApp 存储加密进行比较

NSE 要求 HA 对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、 NSE 系统在加密数据时通常比 NVE 系统性能更好。
NSE 驱动器已通过 FIPS 140-2 级别 2 验证, NVE 和 NAE 使用的 CryptoMod 已通过 FIPS 140-2 级别 1 验证。FIPS 140-2 第 1 级是软件模块可以达到的最高水平。

要求
  1. 是否有任何平台要求?

是NVE 和 NAE 要求控制器 CPU 提供一个名为 AES-NI 的卸载。具有所需卸载功能的控制器包括 FAS2620 、 FAS2650 、 FAS6280 、 FAS6290 、 FAS8020 、 FAS8040 、 FAS8060 、 FAS8080 、 FAS8200 、 FAS9000 、 AFF A200 、 AFF A300 、 AFF A700 、 AFF A700 以及随 ONTAP 9.1 及更高版本引入的所有新控制器。

  1. 除了平台之外,运行 NVE 和 NAE 还需要什么?

您需要一个可以加密和 NVE 软件许可证的 ONTAP 软件映像。不能加密数据的 ONTAP 映像标有特殊扩展名。

  1. NVE 和 NAE 是否为许可功能?

是的、它是用于全球贸易合规性目的的。

  1. 我知道 ONTAP 9.1 包含 nve 、它具有加密功能。如果我向出口控制策略阻止导出强加密算法的国家 / 地区的客户销售该怎么办?

ONTAP 有两种不同的版本:普通版本和无数据(无 DAR )加密版本。Nodar 构建可通过中的 "Nodar" 一词来区分 version -v 或 run local 的版本字符串 version 命令

  1. 哪些关键管理器与 NVE 和 NAE 兼容或可用?

通过 ONTAP 9.3 、板载密钥管理器 (OKM) 和外部 KMIP 服务器可用于 NVE 和 NAE 。

  1. 如果我的现有 NSE 系统具有外部 KMIP 密钥管理器,并且也希望使用 NVE 和 NSE ,该怎么办?

通过 ONTAP 9.3 、外部密钥管理器可以同时用于 NSE 驱动器和 NVE 。ONTAP 9.6 引入了 NAE 。

  1. 从 ONTAP 9.3 开始, NVE 和 NAE 支持哪些外部密钥管理器?

请参见 互操作性表工具( IMT )。

  1. 是否必须按照 NSE 中的要求对我的所有卷进行加密?

目标卷使用 nve ,您可以选择哪些卷已加密、哪些卷未加密。  对于 NAE 聚合、不允许使用未加密的卷。  NAE 聚合上的所有卷必须经过 NAE 加密或 NVE 加密。 

  1. 是否可以将 NSE 驱动器与 NVE 和 NAE 结合使用?

是通过 NVE 和 NAE ,您可以在 NSE 驱动器已提供的基础上添加一层加密。

  1. 是否可以在同一集群中使用支持 NVE 和不支持 NVE 的平台,并且仍使用 NVE 和 NAE ?

是您可以根据标准 ONTAP 平台混合规则混合使用平台。高可用性( HA )对中的两个平台都必须支持 NVE 和 NAE 。集群中不支持 NVE 的平台无法托管加密卷。

架构
  1. 什么是用 NVE 和 NAE 加密的?

对于 NVE ,可以® 对数据卷进行加密,尤其是 NetApp FlexVol 卷,适用于 MetroCluster 的元数据卷( MDV )以及现有控制器根卷( vol0 )。Storage Virtual Machine ( SVM )根卷未使用 NVE 进行加密。对于 NAE 、数据卷、存储虚拟机( SVM )根卷和 MetroCluster 的元数据卷( MDV )都经过加密。  控制器根卷( vol0 )未使用 NAE 加密。对于 NVE 和 NAE 、数据卷中的任何内容都将进行加密、包括 NetApp Snapshot™ 副本和克隆。

  1. 使用 NVE 和 NAE 时、 NetApp 存储效率是否仍保持不变?

是如解决方案概述(第 1.1 节)中所述、 Cryptood 在 RAID 层执行数据加密、这使得存储效率得以保持在原位、因为它们是在加密功能之前执行的。

  1. NVE 和 NAE 是否可以处理聚合重复数据删除?

您可以将 nve 卷放入已进行重复数据删除的聚合聚合中。nve 卷不参与聚合重复数据删除节省; nve 卷将被忽略。  NAE 卷确实参与了聚合重复数据删除节省。

  1. NVE 和 NAE 使用哪种类型的算法来加密数据?

NVE 和 NAE 的静态数据加密使用 XTS-AES-256 。XTS-AES-256 所需的密钥是使用具有预测性电阻和运行状况检查始终打开的 CTR 模式下的 NIST SP800-90A DRBG 生成的。

  1. Snapshot 副本是否已加密?

  1. FlexClone 卷是否已加密?

是NetApp FlexClone® 卷使用与原始卷相同的密钥进行加密。

  1. FlexClone 卷是否可以使用不同于原始卷的加密密钥进行加密?

是FlexClone 卷必须首先从原始卷中分离。警告消息告诉用户执行卷移动以为分离克隆提供新的加密密钥。用户执行卷移动后、分割克隆具有新的加密密钥。

  1. 是否重复使用数据卷加密密钥?

目标卷使用 NVE 时,每个数据卷密钥对该卷都是唯一的。借助 NAE ,数据卷共享唯一的聚合数据加密密钥。

  1. 是否可以为数据卷分配特定的密钥?

目标卷对于 NVE ,创建卷时会自动生成加密密钥。对于 NAE ,创建聚合时会自动生成加密密钥。

  1. 如果我使用 NetApp SnapMirror 将加密卷镜像到另一个集群、目标上是否使用相同的加密密钥?

目标卷对于 NVE ,目标卷是自己的卷,并具有自己的唯一密钥。  对于 NAE ,目标卷是自己的卷,并具有自己唯一的聚合密钥。

  1. NVE 和 NAE 是否对传输中的数据进行加密?

目标卷NVE 和 NAE 专门用于存储在磁盘上的数据。ONTAP 9.6 中引入了另一项功能集群对等加密(集群对等加密, CPE ),用于对 SnapMirror , SnapVault 和 FlexCache 中传输的数据进行加密。

  1. 如果我使用 SnapMirror 将加密卷镜像到其他集群,则数据是通过 NVE 还是 NAE 在传输过程中或通过线缆进行加密?

目标卷NetApp SnapMirror® 位于 NetApp WAFL® 层之上,因此由 SnapMirror 发送的数据不会通过 NVE 或 NAE 进行加密。有关详细信息,请参阅第 1.1 节中的解决方案概述。

  1. 是否在集群间复制加密密钥?

目标卷加密密钥仅适用于单个集群。

  1. 数据卷加密或聚合加密密钥存储在何处?

使用板载密钥管理器时,数据卷加密密钥和聚合密钥存储在用户无法访问的 WAFL 元数据和卷位置数据库( VLDB )中。使用外部密钥管理器时,数据卷加密密钥和聚合密钥会直接存储在 KMIP 服务器上。

  1. 什么是可信平台模块( TPM )?

TPM 是 FAS 或 AFF 存储控制器主板上的芯片。  从 ONTAP 9.8 开始,使用 TPM 芯片和 TPM 许可证的平台将生成并密封节点密钥加密密钥,以保护最高级别的 OKM 密钥层次结构。

  1. 我的源卷是否可以加密、 SnapMirror 目标是否可以不加密、或者反之?

是源卷和目标卷可以具有不同的加密设置。源卷和目标卷可以是 NVE , NAE 或纯文本卷的混合卷。

  1. NVE 和 NAE FIPS 140-2 是否已通过验证?

NVE 和 NAE 符合 FIPS 140-2 标准。这些算法已经到位,可以使 NVE 和 NAE 或者更精确地说, NVE , NAE 和 OKM-Is FIPS 140-2 1 级验证所使用的 CryptoMod

  1. NVE 和 NAE 是否提供了特殊的机制或程序来防止或处理数据溢出?

目标卷由于固态驱动器( SSD )的损耗均衡,在启用 NVE 和 NAE 之前磁盘上的敏感数据仍可能存在。但是,随着 NetApp ONTAP 9.3 中引入的外部密钥服务器、卷密钥在集群外部。此问题并非 NetApp 独有;使用 SSD 的任何供应商都存在相同的问题。

  1. 如何使用 NVE 无中断地补救数据溢出?  例如,我希望确保删除 GDPR " 擦除权 " 中的个人数据。

使用 NVE 安全清除通过移动好的文件并删除用于加密受感染文件的密钥,以加密方式粉碎 NVE 卷上已删除的文件。有关NetApp Encryption Power Guide详细信息,请参见NAE 卷不支持安全清除。

配置
  1. 如何加密新数据卷?

请参见《 NetApp 卷加密电源指南》。

  1. 是否可以对现有数据卷进行加密?

是您可以通过执行卷移动来执行此操作。有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1. 是否可以对现有数据卷进行加密(不进行卷移动)?

是从 NetApp ONTAP 9.3 开始,可以使用 volume encryption conversion start 命令对 NVE 卷进行原位加密。但是,要解密卷、仍需要卷移动。

  1. 是否可以在 ONTAP 9.6 中使用 NAE 对现有卷进行加密?

目标卷您需要执行以下操作之一:

  1. 创建一个新的包含存储聚合的 NAE 聚合 creation-aggregate_name-node node_name -Encrypt -with-aggr-key true 并通过指定 Encrypt -destination 或 Encrypt -with-aggr-key 将卷移动到该聚合。随着卷的增加、您开始实现聚合重复数据删除空间节省。
  2. 确保聚合中的每个卷都是一个 NVE 卷(在一个 NAE 聚合上不支持纯文本卷)。完成后、可以在聚合上启用 NAE 、并使用 storage aggregate modify-aggregate_name -node node_name -Encrypt -with-aggr-key true 。然后使用卷移动 start - vserver svm_name - volume volume_name - destination-aggregate_name - Encrypt - with-aggr - key true 将 nve 卷移动到同一聚合。

注意:这两个选项都需要足够的可用空间来创建新聚合或在现有聚合中留出足够的可用空间来完成卷移动。

有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1. 如何在将 NVE 卷移动到 NAE 卷后实现聚合重复数据删除空间节省?

请执行以下步骤:

  1. cross-volume-background-dedupe 使用在所有 NAE 卷上启用 volume efficiency modify -vserver <vserver_name> -volume <vol_name> -cross-volume-background-dedupe true
  2. cross-volume-inline-dedupe 使用在所有 NAE 卷上启用 volume efficiency modify -vserver <vserver_name> -volume <vol_name> -cross-volume-inline-dedupe true
  3. volume-level background dedupe 所有 NAE 卷上运行并等待完成 具有的所有卷 volume efficiency start -volume <vol_name> -vserver <vserver_name> -scan-old-data true -dedupe true and volume efficiency show
  4. 运行 cross-volume background dedupe 方式 storage aggregate efficiency cross-volume-dedupe start -aggregate <aggr_name> -scan-old-data true and storage aggregate efficiency cross-volume-dedupe show
  1. 如何取消对 NAE 卷的加密?

执行以下步骤之一:

  1. 使用其他聚合:
    1. 将卷移动到另一个非 NAE 聚合并将其转换为纯文本卷。为此,您可以使用 volume move 命令和参数 -encrypt-destination false -encrypt-with-aggr-key false.
  2. 使用相同的聚合:
    1. 假设现有 NAE 聚合中有空间,请移动这些卷,将其从 NAE 转换为同一聚合中的 NVE ( NAE 聚合确实允许)。要执行此操作,请使用 volume move 命令和参数 -encrypt-with-aggr-key false.
    2. 在所有卷均为 NVE 且不存在 NAE 加密卷后,运行命令以在聚合上禁用 NAE aggregate modify -aggregate aggregate_name -node node_name -encrypt-with-aggr-key false。  请确保不存在聚合 Snapshot 副本,否则它将失败。
    3. 移动 NVE 卷以取消加密并进行转换 将 NVE 更改为纯文本 -encrypt-destination false.
  1.  如何查看卷加密转换启动命令的进度?

           使用 volume encryption conversion show-fields percent-completed 命令。

  1.  是否可以在运行活动 NVE 卷加密启动时执行卷移动?

是  如果卷加密转换显示第 1 阶段的状态,则必须发出卷加密转换暂停,并且卷移动开始时使用 -encrypt-destination true 将使用新的卷数据加密密钥开始卷移动。如果卷加密转换显示的状态为第 2 阶段,则可以在不暂停的情况下启动卷移动(从 -Encrypt 开始)目标为 true 。  当卷在活动卷加密重新密钥启动时移动时,所有这一切都是正确的。

  1. 如果我暂停了卷加密转换,而后续的卷加密转换恢复,则转换是否会继续进行?

目标卷转换将从头开始

  1. 是否可以调整卷加密转换过程?

目标卷  卷加密转换过程对每个卷运行单线程。ONTAP 将优先于卷加密转换过程的数据访问操作。

由于数据访问优先于加密过程,因此根据
要加密的数据集的大小,转换过程可能需要很长时间。无法 预测对卷或聚合进行加密或解密需要多长时间。

  1. 是否可以同时运行最大数量的卷加密转换进程?

不能,但建议每个节点同时不能有 4 个组合加密转换或加密卷移动。

  1. 是否可以在不删除卷的情况下瞬时删除 NVE 卷加密密钥?

卷加密密钥将随卷一起删除,直至卷的保留期到期。保留期是标准 ONTAP 卷功能。在保留期到期之前、数据在磁盘上保持加密状态。

  1. 是否可以在不删除 NAE 卷的情况下瞬时删除 NAE 聚合加密密钥?

对于 NAE 卷,删除卷后,从关键角度看不会执行任何操作。聚合密钥将一直存在,直到聚合中至少存在一个任何类型的卷( NVE 或 NAE )为止。在保留期限到期后,上次删除卷时将删除聚合密钥。如果再次创建 NAE 卷,则会重新创建聚合密钥。这些密钥将与此聚合上先前存在的一组密钥不同。 

  1. 创建加密卷后我该怎么办?

无需任何操作。ONTAP 确保使用该卷的数据已加密。

  1. 是否可以取消对数据卷的加密?

是,适用于 NVE 。有关详细信息,请参见《 NetApp 卷加密高级指南》。 NAE 聚合不能包含未加密的卷—它们只能包含 NVE 或 NAE 加密的卷。

  1. 是否可以重新对现有卷进行密钥加密或更改加密卷的加密密钥?

是,适用于 NVE 。有关更多信息、请参见《 NetApp 卷加密电源指南》。NAE 不支持重新设置密钥。

  1. 我是否必须使用 NVE 对所有数据卷进行加密?

目标卷您可以选择加密哪些数据卷。

  1. 如何确认哪些卷已加密?

volume show带有 -is-encrypted true 选项的命令可显示当前加密卷的列表。对于 9.6 及更高版本, volume show 带有的命令 -encryption-type <none|volume|aggregate> 将列出未加密, NVE 加密或 NAE 加密的卷。

  1. 如何从板载密钥管理器过渡到外部密钥管理器?或者反之?

如果您使用的是 NSE 、则需要将身份验证密钥重置为默认制造商安全 ID ( MSID ) 0x0 。如果使用的是 nve 、则需要取消对所有卷的加密。如果您使用的是 NAE ,则需要将所有 NAE 或 NVE 卷作为非加密聚合移动到非 NAE 聚合。如果您来自 OKM 、请删除 OKM 配置并创建外部密钥管理器配置。或者,如果您来自外部密钥管理器、请删除外部密钥管理器配置并创建 OKM 配置。最后、为 NSE 驱动器设置身份验证密钥并使用 NVE 对所需卷进行加密。有关详细信息,请参见 《 NetApp 加密高级指南》

  1. 如何在控制器重新启动时要求提示输入 OKM 密码短语?

您可以选择使用-enable-cc-mode true命令中的选项来要求使用 OKM 通行密码。 security key-manager setup command.可以在移动控制器和磁盘架之前启用此功能,并在移动完成后关闭此功能。从 ONTAP 9.6 开始,命令为 security key-manager onboard enable -cc-mode-enabled yes。 

  1. 在使用 -enable-cc-mode true 初始化 OKM 时,为什么使用 -encrypt false 创建 NVE 卷时出现错误?

使用初始化 OKM -enable-cc-mode true时,您必须对新卷进行加密。

  1. 节点联系外部密钥管理器的情况是什么?

节点在以下情况下会联系密钥管理器:

  1. 正在启动
  2. 创建密钥。
  3. 应以下请求:
  1. security key-manager query command
  2. security key-manager restore command
  3. security key-manager show -status command
  1. 无法访问外部密钥管理器时的行为是什么?

何时

  1. 正在启动
  • NVE 系统:加密卷保持脱机状态
  • NSE System :拒绝引导、请参见《 NetApp 加密电源指南》
  1. 未创建密钥:密钥
  2. 应以下请求:
  1. security key-manager query 命令:如果已填充高速缓存,则会显示密钥 ID
  2. security key-manager restore 命令:命令将失败
  3. security key-manager show -status 命令:命令将显示不可用
  1. 如果在节点交还期间外部密钥管理器不可用,则 NVE 和 NAE 卷会发生什么情况?

NVE 和 NAE 卷将脱机。

  1. 可以从何处下载支持 NVE/NAE 的映像?

您可以从 NetApp 支持站点下载用于 9.1 版或更高版本的 ONTAP 映像。例如,转至https://mysupport.netapp.com/NOW/download/software/ontap/9.1/download.shtml ONTAP 9.1 。(参见图 2 。)

图 2 ) ONTAP 软件下载页面


  

 

  1. 如果我在支持 NVE 的 ONTAP 版本上安装支持 ONTAP 的非版本(例如,受限国家的版本)、会发生什么情况?

如果有 nve 卷、 ONTAP 安装应该会失败。

  1. 如何从不支持 NVE/NAE 的版本切换到支持 NVE/NAE 的版本(例如,受限国家或地区的版本)?

要升级到支持 NVE/NAE 的版本,请执行以下步骤:

从 ONTAP 9 下载下载中下载空闲数据加密映像,并在 URL 上提供。

  • 用途 cluster image package get <-url text>
  • 用于 cluster image package show 查看软件包。
  • 用途 cluster image update -version <version> -nodes <nodes>
  • Use cluster image show-update-progress (完成后,将进行重新启动)
性能
  1. NVE 和 NAE 对性能有何影响?

这取决于客户工作负载、活动加密数据卷的数量、平台以及正在使用的磁盘类型。

  1. 某些平台是否使用 NVE 和 NAE 时性能更好?

是具有较高核心数的平台可以更好地利用 NVE 。在某些情况下、在较高端、 NVE 的性能影响可以忽略或不可见。例如,对于相同的工作负载和相同数量的活动加密数据卷, NetApp FAS8080 的影响比 FAS8040 的影响要小。

  1. 使用 NVE 和 NAE 时, SSD 和 HDD 之间的性能是否有差异?

由于希望极低延迟,因此通常会将 SSD 中的卷放置在该位置。NVE 和 NAE 可扩展每条数据的路径长度,以便在某些工作负载和运行条件下可以注意到这一点。例如,在 NetApp 全闪存 FAS 系统上运行 NVE 和 NAE 时,给定延迟下的 IOPS 数可能会更少。对于驻留在 HDD 中的卷,该系统中的瓶颈是磁盘, NVE 和 NAE 应该几乎没有影响。

  1. 是否会对非加密卷产生影响?

NVE 和 NAE 的影响来自对加密卷的处理范围的扩展。在正常情况下运行时,未加密的卷不应受到影响。

  1. 如果要在现有系统上启用 NVE 或 NAE 、该怎么办?如何衡量影响?

按原样(无加密)使用系统上的保留空间功能来记录现有性能的位置。然后,添加一个 NVE 或 NAE 卷(或转换现有卷)并再次使用保留空间功能查看更改。请记住, nve 是每个卷的;因此,您可以根据保留空间和影响一次加密或创建一个卷。

  1. 为了防止加密影响非加密卷、专用于加密的 CPU 核心数量有限。如果加密核心过载会发生什么情况?

为了防止过载、 NVE 和 NAE 利用英特尔芯片组中的 AES-NI 进行加密加速。如果卸载已饱和、则会以 IOPS 显示影响。

互操作性
  1. 是否可以将 NVE 和 NAE 与 MetroCluster 结合使用?

是NVE 和 NAE 是 NetApp MetroCluster 唯一可用的静态数据加密选项。

  1. 是否可以将 NVE 和 NAE 与 ONTAP Select 结合使用?

是NVE 和 NAE 是 NetApp ONTAP Select 唯一一个通用的空闲数据加密选项。

  1. 是否可以将 NVE 和 NAE 与 NetApp FlexArray® 软件结合使用?

是只要控制器支持 NVE 和 NAE ,您就可以使用 NVE 和 NAE 。

  1. 是否可以将 NVE 和 NAE 与 Cloud Volumes ONTAP 结合使用?

是,适用于 NVE 。从 ONTAP 9.5 开始支持 Cloud Volumes ONTAP 。Cloud Volumes ONTAP 当前不支持 NAE 。

  1. NetApp Flash Cache 卡是否支持 NVE 和 NAE ?

Flash Cache™ 卡上的数据通过 NVE 和 NAE 使用的相同 CryptoMod 进行加密。

  1. NetApp Flash Pool 智能缓存中的数据是否由 NVE 和 NAE 加密?

是Flash Pool™ 缓存中的数据由 NVE 和 NAE 加密。

  1. NetApp SnapLock 软件和 NetApp ONTAP FlexGroup 卷是否与 NVE 和 NAE 兼容?

是从 ONTAP 9.2 开始、支持 SnapLock 软件和 ONTAP FlexGroup 卷。新的 SnapLock 卷支持 SnapLock ,从 ONTAP 9.8 开始,可以通过卷移动对现有 SnapLock 卷进行加密。现有 SnapLock 卷无法进行原位加密或重新设置密钥。

 

 

  1. FlexGroup 卷和 NAE 有哪些限制?

以下限制适用于 fg create , rekey/conversion 和 expand :

  • fg create
  • 只有当所有目标 aggrs 都属于相同的加密类型( NAE 或非 NAE )时,才允许执行加密卷创建操作,不允许混合。
  • NAE aggrs 不允许创建纯文本 FG 卷。
  • 可以在 NAE 聚合和非 NAE 混合上创建 NVE 卷。
  • 如果指定了 -encrypt true ,则所有成分卷的类型均为 NVE 。目标 aggrs 可以是 NAE 聚合和非 NAE 聚合的组合。
  • 不支持 -encrypt false 。
  • 如果未指定任何内容,则会在脱网 NAE aggrs 上创建 NAE 卷。
  • fg 重新设置密钥 / 转换
  • 如果任何成分卷的类型为 NAE ,则不允许原位重新设置密钥 / 转换。必须通过 vol-move 将 NAE 类型的成分卷转换为 NVE REST 卷类型。只有这样,才允许重新设置密钥 / 进行转换。
  • fg 展开
  • 只有当新的目标聚合为 NAE 时,才允许向现有 FG ( NAE aggr )添加更多成员。如果新的目标聚合不是 NAE ,则此操作将失败。
  1. 外部( KMIP )密钥管理器是否与 NVE 和 NAE 兼容?

是从 ONTAP 9.3 开始、外部关键经理与 NVE 兼容。

  1. 备份应用程序是否支持 NVE 和 NAE ?

是NVE 和 NAE 独立于备份目标或解决方案。提交到备份解决方案的数据未加密。

  1. NVE 和 NAE 是否支持数据分区(例如, ADP/ADPv2 等)?

是NVE 和 NAE 独立于数据分区过程,因为卷是在执行分区过程后建立的。

有关更多信息、请参见《 NetApp 卷加密电源指南》。

追加信息

附加信息 _text