已加密的物理卷

在线编辑

物理卷 (PV) 加密通过加密写入物理卷的数据来保护用户数据。 基本操作系统在 I/O 操作期间执行物理卷数据加密和解密。 在将数据发送到外部存储区域网络 (SAN) 设备之前对其进行加密,以保护 SAN 上的数据。 物理卷加密还可保护因丢失或被盗硬盘驱动器或因不适当地停用计算机或存储设备而暴露的数据。 执行 I/O 操作的应用程序可以在不进行任何修改的情况下使用受保护数据。 可以采用与未加密的物理卷相同的方式使用已加密的物理卷。 但是, rootvg 卷组不能包含任何已加密的物理卷。

必须安装以下文件集以加密物理卷数据。 这些文件集包含在基本操作系统中。

  • bos.hdcrypt
  • bos.kmip_client
  • security.acf
  • openssl.base

配置 PV 加密

从具有技术级别的 IBM® AIX® 7.3 1 开始,您可以使用 hdcryptmgr 命令来管理物理卷加密操作。

加密物理卷的大小小于加密前物理卷的大小,因为加密功能在物理卷上为加密过程预留了一些空间。 对物理卷启用加密后,将删除存储在该物理卷上的任何数据,并对写入该物理卷的新数据进行加密。 对于读操作,将首先解密来自已加密物理卷的数据。 要对现有数据进行加密,您可以分配新的物理卷,对新的物理卷启用加密,然后将现有数据复制到新的物理卷。

加密物理卷支持与加密逻辑卷 (LV) 相同的密钥存储和检索方法。 密钥可以是类型口令,可以从平台密钥库 (PKS) 获取,也可以从网络密钥管理器获取。 当密钥存储在 PKS 或网络密钥管理器中时,将在引导过程中自动解锁物理卷。 hdcryptmgr 命令的 authunlock 操作参数可用于手动解锁已加密的物理卷。 在锁定的加密物理卷上执行 I/O 操作的任何尝试都将失败,并产生 permission denied 错误,直到该物理卷解锁为止。

加密 PV 的限制

加密的物理卷具有以下限制:
  • rootvg 卷组不得包含任何已加密的物理卷。 如果 rootvg 包含一个或多个加密物理卷,那么 AIX 引导过程将失败。 mkvgextendvg 命令阻止将加密物理卷与 rootvg 配合使用。
  • 现有物理卷不能从未加密的物理卷转换为加密的物理卷,反之亦然。 在物理卷上启用加密会删除该磁盘上的所有现有数据。
  • 物理卷加密需要 AIX 操作系统提供的其他磁盘属性。 如果使用另一个存储供应商的对象数据管理器 (ODM) 定义来定义磁盘,那么必须从该供应商获取新的 ODM 定义以支持物理卷加密。
  • 可以与运行 AIX 7.3 Technology Level 1 或更高版本的其他 AIX 逻辑分区共享加密物理卷。 与较旧级别的 AIX 共享已加密的物理卷会损坏数据,因为较旧级别的 AIX 无法识别已加密的物理卷。
  • 如果使用 PKS 认证加密的物理卷不属于 rootvg 卷组,那么可以将其用作传统转储设备。
  • 当您使用 alt_disk_copyalt_disk_mksysb 命令时,无法将加密的物理卷用作目标磁盘,因为 rootvg 卷组不支持加密的物理卷。
  • 只能对 SCSI 物理卷进行加密。 您无法对 NVMe 磁盘进行加密,甚至无法对虚拟 SCSI ( vSCSI ) 磁盘进行加密 vPMEM。
  • 同一 AIX 操作系统映像在使用加密物理卷时,不能将地理逻辑卷管理器 (GLVM) 或 AIX 存储数据高速缓存 (cache_mgt 命令) 与其他 SCSI 磁盘配合使用。 GLVM 或存储器数据高速缓存可以与 NVMe 磁盘或 vPMEM 磁盘配合使用。

加密 PV 的磁盘备份注意事项

使用加密物理卷时,在物理磁盘上备份数据的各种方法具有不同的特征。

如果数据备份操作正在操作系统实例中运行,那么操作系统会先读取数据并对该数据进行解密,然后再将其发送到备份软件。 备份介质包含解密的用户数据。 与加密相关的元数据未存储在备份介质中。 如果将此备份数据复原到另一个物理卷,那么仅当为该物理卷启用了加密时,才会对数据进行加密。 如果未对目标物理卷启用加密,那么复原的数据将不会加密,甚至可以由较早级别的 AIX直接使用。

如果使用存储设备 (例如,快照或 FlashCopy®) 备份数据,那么将对备份的数据进行加密。 存储设备中的备份数据包括加密元数据和加密用户数据。 基于存储器的备份是加密数据的块对块副本,存储器无法确定数据是由操作系统加密的。