将卷迁移到加密池

对于启用了加密的系统,您可以将现有卷从非加密池迁移到加密池。 管理 GUI 和命令行界面可用于将卷迁移到加密池。

在管理 GUI 中设置系统期间,可以激活并启用加密许可证。 管理 GUI 将自动显示支持加密的任何机柜。 可以为系统和受支持的机柜自动或手动激活并启用许可证。管理 GUI 会自动显示任何支持加密的节点。 可以自动或手动激活许可证,然后为系统和受支持的节点启用该许可证。 将为启用加密后创建的任何池分配一个可用于加密和解密数据的密钥。但如果在已将卷分配给非加密池后配置了加密,那么可以使用子池将这些卷迁移到加密池。 在启用加密后创建子池时,即使父池未加密,也会为子池创建加密密钥。 然后,可以使用卷镜像将卷从非加密父池迁移到加密子池。 您可以使用管理 GUI 或命令行界面将卷迁移到加密池。

系统既支持内部存储器,也支持外部存储器。 内部存储器由通过串行连接的 SCSI 连接直接连接到系统的阵列组成。 外部存储器由通过存储区域网络 (SAN) 连接到系统的阵列组成。 迁移过程将因卷所使用的底层存储器的类型而有所不同。

如果迁移的是使用有 SAN 连接的 MDisk 的卷,那么必须完成迁移使用连接 SAN 的 MDisk 的卷的迁移步骤。

迁移使用连接 SAN 的 MDisk 的卷

要在管理 GUI 中迁移使用连接 SAN 的 MDisk 的卷,请完成以下步骤:

  1. 在管理 GUI 中,选择 >
  2. 右键单击包含要迁移的卷的非加密父池,并选择创建子池
  3. 创建子池页面上,输入子池的名称以及容量的大小。 确保选择足够的容量以容纳迁移卷。 为系统启用加密时缺省情况下会选择加密。
  4. 单击创建。 创建子池后,可以通过添加卷拷贝将卷迁移到子池。
  5. 在管理 GUI 中,选择 > 按池划分的卷
  6. 选择非加密的父池以显示所有卷。
  7. 右键单击卷并选择添加卷拷贝...
  8. 添加卷拷贝页面上,为要创建的拷贝类型选择基本。 从可用池的列表中,选择子池作为卷拷贝的目标池。
  9. 单击 Add
  10. 为父池中的剩余卷重复这些步骤,以将卷拷贝添加到加密的子池。
  11. 在加密子池中同步所有拷贝后,可以从父池中删除主拷贝。空的父池必须保持未使用状态,才能使用子池中的加密卷。

要在命令行界面中迁移使用连接 SAN 的 MDisk 的卷,请完成以下步骤:

  1. 在命令行界面中,输入以下命令来创建子池:
    mkmdiskgrp -name my_encrypted_child_pool -parentmdiskgrp mypool -encrypt yes
    其中,my_encrypted_child_pool 是新子池的名称,mypool 是父池的名称。
  2. 发出 CLI 命令 addvdiskcopy 以在新子池中创建父池中卷的镜像拷贝。 在以下示例中,my_encrypted_child_pool 是新子池的名称,volume1 是要拷贝的卷的名称。
    addvdiskcopy -autodelete -mdiskgrp my_encrypted_child_pool -vdisk volume1
    使用 -autodelete 操作数以在拷贝同步后自动删除卷的主拷贝。
  3. 重复步骤 #svc_migratevolencryption/step2,直至原来的父池的所有卷都包含新子池中的镜像拷贝。 空的父池必须保持未使用状态,才能使用子池中的加密卷。

迁移使用内部 MDisk 的卷

如果您具有不支持加密也未激活和启用加密许可证的内部连接机柜,并且需要加密卷,那么仍可以将卷迁移到加密池。 必须先将软件升级到支持加密的版本,并获取加密许可证,才可以迁移卷。 收到加密许可证的授权文档之后,必须在尝试迁移任何卷之前激活许可证并在系统上启用加密功能。 此外,您还必须确保未加密池中包含足以完成迁移所需的可用数据块。 如果没有足够的可用扩展数据块,那么迁移将失败。 有两个选项可确保池中包含足够的数据块:
  • 如果您有备用驱动器,可以使用备用驱动器创建一个新的加密阵列。
  • 如果您没有备用驱动器,可以向父池中添加未分配的外部 MDisk,并创建一个新的加密子池。 如果选择此选项,并打算在迁移之后将外部 MDisk 保留在池中,请使用迁移使用连接 SAN 的 MDisk 的卷中的指示信息。

下列步骤假设已完成这些任务。

要在管理 GUI 中迁移使用内部 MDisk 的卷,请完成以下步骤:
  1. 在管理 GUI 中,选择 > 按池划分的 MDisk
  2. 选择池并右键单击表示要删除阵列的 MDisk,然后选择除去
  3. 要将阵列重新添加到池,请选择按池划分的 MDisk。 将在窗格底部显示新的可用内部存储器。 选择表示以前位于已删除阵列中的驱动器的驱动器种类的图标,然后选择分配。 缺省情况下,新阵列处于加密状态。 在对所有阵列加密之后,会将池视为已加密,并且该池中的卷上的数据也已加密。
  4. 要验证这些卷上的数据是否已迁移至加密阵列以及现在是否已加密,请选择 > 按池划分的卷
  5. 选择池并验证列出的卷是否已加密。 将在加密列下显示一个钥匙图标,指示卷上的数据已加密。
对于在命令行界面中使用内部 MDisk 的迁移卷,请完成以下步骤:
  1. 要从池中除去阵列,请输入以下命令:
    rmarray -mdisk mdisk3 pool2
    在此示例中,mdisk3 是从 pool2 中除去的阵列。
  2. 要创建新的加密阵列并将该阵列添加到存储池,请输入以下命令:
    mkarray -level raid5 -drive 0:1:2:3 -mdiskgrp pool2
    在此示例中,缺省情况下阵列已加密,因为在阵列的 I/O 组上启用了加密。 现在已对存储在使用该阵列的卷上的数据进行加密。
  3. 要验证是否已对池中的卷加密,请输入以下命令:
    lsvdisk 
    如果卷上的所有数据都已加密,那么加密状态为 yes