コンテンツ 隠れる
1 CISCO HyperFlex HX データ プラットフォーム
2 製品情報
3 製品使用説明書
4 HX セキュリティ暗号化に関する FAQ
5 補足書類
6 ドキュメント / リソース
6.1 参考文献
7 関連記事

CISCO ロゴ

CISCO HyperFlex HX データ プラットフォーム

CISCO-HyperFlex-HX-データプラットフォーム-PRO

製品情報

  • 製品名: HX セキュリティ暗号化
  • バージョン: HXDP5.01b について
  • 暗号化ソリューション: Intersight Key Managerを使用したソフトウェアベースのソリューション
  • 暗号化の種類: 自己暗号化ドライブ (SED)
  • サポートされているドライブの種類: Micron の HDD および SSD SED
  • コンプライアンス基準: FIPS 140-2 レベル 2 (ドライブ製造元) および FIPS 140-2 レベル 1 (プラットフォーム)
  • クラスター全体の暗号化: HXの暗号化は、SEDを使用して保存データのみをハードウェアで実装します。
  • 個別のVM暗号化: HytrustやVormetricの透過クライアントなどのサードパーティソフトウェアによって処理されます
  • VMware ネイティブ VM 暗号化: SED暗号化で使用するためにHXでサポートされています
  • キー管理: 各SEDにはメディア暗号化キー(MEK)とキー暗号化キー(KEK)が使用されます。
  • メモリ使用量: 暗号化キーはノードメモリに存在しない
  • パフォーマンスへの影響: ディスクの暗号化/復号化はドライブハードウェア内で処理されるため、システム全体のパフォーマンスには影響しません。
  • SED のその他の利点:
    • 瞬時の暗号化消去により、ドライブの廃棄と再展開のコストを削減
    • データプライバシーに関する政府または業界の規制への準拠
    • ハードウェアを取り外すとデータが読み取れなくなるため、ディスク盗難やノード盗難のリスクが軽減されます。

製品使用説明書

HX セキュリティ暗号化を使用するには、次の手順に従います。

  1. システムがハードウェアベースの暗号化をサポートしているかどうか、または Intersight Key Manager を使用したソフトウェアベースのソリューションを希望しているかどうかを確認します。
  2. ソフトウェアベースの暗号化に関する情報については、管理ドキュメントまたはホワイトペーパーを参照してください。
  3. SED でハードウェアベースの暗号化を使用する場合は、HX クラスタが均一なノード (SED または非 SED) で構成されていることを確認してください。
  4. SED の場合、メディア暗号化キー (MEK) とキー暗号化キー (KEK) の 2 つのキーが使用されていることを理解してください。
  5. MEK はディスクへのデータの暗号化と復号化を制御し、ハードウェアで保護および管理されます。
  6. KEK は MEK/DEK を保護し、ローカルまたはリモートのキーストアで管理されます。
  7. 暗号化キーはノード メモリに保存されないため、キーがノード メモリに存在することを心配する必要はありません。
  8. ディスクの暗号化/復号化はドライブ ハードウェアで処理されるため、システム全体のパフォーマンスには影響がありません。
  9. コンプライアンス標準に関して特定の要件がある場合は、HX SED 暗号化ドライブはドライブ製造元の FIPS 140-2 レベル 2 標準を満たしている一方、プラットフォーム上の HX 暗号化は FIPS 140-2 レベル 1 標準を満たしていることに注意してください。
  10. 個々の VM を暗号化する必要がある場合は、Hytrust や Vormetric の透過クライアントなどのサードパーティ ソフトウェアの使用を検討してください。または、vSphere 3 で導入された VMware のネイティブ VM 暗号化を利用することもできます。
  11. HX SED ベースの暗号化に加えて VM 暗号化クライアントを使用すると、データが二重に暗号化されることに注意してください。
  12. HX レプリケーションは暗号化されていないため、安全なレプリケーションのために、HX クラスタが信頼できるネットワークまたは暗号化されたトンネルを介して接続されていることを確認してください。

HX セキュリティ暗号化に関する FAQ

HXDP 5.01b 以降、HyperFlex は、ハードウェアベースの暗号化をサポートしていないシステム、またはハードウェア ソリューションよりもこの機能を希望するユーザー向けに、Intersight Key Manager を使用したソフトウェアベースのソリューションを提供しています。この FAQ では、HX 暗号化用の SED ベースのハードウェア ソリューションのみに焦点を当てています。ソフトウェアベースの暗号化の詳細については、管理ドキュメントまたはホワイト ペーパーを参照してください。

偏見に関する声明
この製品のドキュメント セットでは、偏見のない言語を使用するよう努めています。このドキュメント セットでは、偏見のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を暗示しない言語と定義されています。製品ソフトウェアのユーザー インターフェイスにハードコードされている言語、標準ドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語が原因で、ドキュメントに例外が存在する場合があります。

セキュリティと HX 暗号化にシスコを選ぶ理由 

  • Q 1.1: 安全な開発のためにどのようなプロセスが実施されていますか?
    A1.1: Cisco サーバーは、Cisco Secure Development Lifecycle (CSDL) に準拠しています。
    • シスコは、オーバーレイだけでなく、シスコのサーバーに組み込みセキュリティを開発するためのプロセス、方法論、フレームワークを提供します。
    • UCS 製品ポートフォリオの脅威モデリング/静的分析を専門とする Cisco チーム
    • Cisco Advanced Security Initiative Group(ASIG)は、プロアクティブな侵入テストを実施して脅威がどのように侵入するかを理解し、CDETSとエンジニアリングを通じてHWとSWを強化して問題を修正します。
    • アウトバウンドの脆弱​​性をテストおよび処理し、セキュリティアドバイザーとして顧客とコミュニケーションをとる専任のシスコチーム
    • すべての基盤製品は、シスコ製品のセキュリティ標準を規定する製品セキュリティ ベースライン要件 (PSB) に準拠しています。
    • CiscoはすべてのUCSリリースで脆弱性/プロトコルの堅牢性テストを実施しています
  • Q 1.2: SED はなぜ重要ですか?
    A1.2: SED は保存データの暗号化に使用され、すべてではないにしても多くの連邦政府機関、医療機関、金融機関で必須となっています。

一般情報オーバーview

  • Q 2.1: SED とは何ですか?
    A2.1: SED (自己暗号化ドライブ) には、受信データを暗号化し、送信データをリアルタイムで復号化する特別なハードウェアが搭載されています。
  • Q 2.2: HX での暗号化の範囲は何ですか?
    A2.2: HX の暗号化は現在、暗号化ドライブ (SED) を使用して保存データのみを対象にハードウェアで実装されています。HX の暗号化はクラスタ全体で行われます。個々の VM の暗号化は、Hytrust や Vormetric の透過クライアントなどのサードパーティ ソフトウェアによって処理され、HX の責任範囲外となります。HX は、vSphere 3 で導入された VMware のネイティブ VM 暗号化の使用もサポートしています。HX SED ベースの暗号化に加えて VM 暗号化クライアントを使用すると、データが二重に暗号化されます。HX レプリケーションは暗号化されず、エンド ユーザーが展開した信頼できるネットワークまたは暗号化トンネルに依存します。
  • Q 2.3: HX 暗号化はどのようなコンプライアンス標準を満たしていますか?
    A2.3: HX SED 暗号化ドライブは、ドライブ製造元の FIPS 140-2 レベル 2 標準に準拠しています。プラットフォーム上の HX 暗号化は、FIPS 140-2 レベル 1 標準に準拠しています。
  • Q 2.4: 暗号化では HDD と SSD の両方をサポートしていますか?
    A2.4: はい、Micron の HDD と SSD SED の両方をサポートしています。
  • Q 2.5: HX クラスタに暗号化されたドライブと暗号化されていないドライブを同時に配置できますか?
    A2.5: クラスタ内のすべてのノードは均一である必要があります(SED または非 SED)
  • Q 2.6: SED ではどのようなキーが使用され、どのように使用されますか?
    A2.6: 各 SED には 2 つのキーが使用されます。メディア暗号化キー (MEK) はディスク暗号化キー (DEK) とも呼ばれ、ディスクへのデータの暗号化と復号化を制御し、ハードウェアで保護および管理されます。キー暗号化キー (KEK) は DEK/MEK を保護し、ローカルまたはリモートのキーストアで管理されます。
  • Q 2.7: キーはメモリ内に存在しますか?
    A2.7: 暗号化キーはノードメモリに存在しない
  • Q 2.8: 暗号化/復号化プロセスはパフォーマンスにどのような影響を与えますか?
    A2.8: ディスクの暗号化/復号化はドライブのハードウェアで処理されます。システム全体のパフォーマンスは影響を受けず、システムの他のコンポーネントを標的とした攻撃の対象にはなりません。
  • Q 2.9: 保存時の暗号化以外に、SED を使用する理由は何ですか?
    A2.9: SEDは、瞬時の暗号化消去により、ドライブの廃棄や再導入のコストを削減できます。また、データプライバシーに関する政府や業界の規制に準拠することもできます。tage は、ハードウェアがエコシステムから削除されるとデータが読み取れなくなるため、ディスク盗難やノード盗難のリスクが軽減されることです。
  • Q2.10: SED による重複排除と圧縮では何が起こりますか? サードパーティのソフトウェアベースの暗号化では何が起こりますか?
    A2.10: HX の SED による重複排除と圧縮は、保存データの暗号化が書き込みプロセスの最後のステップとして行われるため維持されます。重複排除と圧縮はすでに行われています。サードパーティのソフトウェアベースの暗号化製品では、VM が暗号化を管理し、暗号化された書き込みをハイパーバイザに渡し、その後 HX に渡します。これらの書き込みはすでに暗号化されているため、重複排除や圧縮は行われません。HX ソフトウェア ベースの暗号化 (3.x コードライン) は、書き込みの最適化 (重複排除と圧縮) が行われた後にスタックに実装されるソフトウェア暗号化ソリューションであるため、その場合もメリットが維持されます。

下の図はオーバーですview HX を使用した SED の実装。CISCO-HyperFlex-HX-データプラットフォーム-1

ドライブの詳細 

  • Q 3.1: HX で使用される暗号化ドライブを製造しているのは誰ですか?
    A3.1: HX は Micron 社製のドライブを使用します。Micron 社固有のドキュメントは、この FAQ のサポート ドキュメント セクションにリンクされています。
  • Q 3.2: FIPS に準拠していない SED はサポートされていますか?
    A3.2: FIPS 非対応だが SED (TCGE) をサポートするドライブもいくつかサポートしています。
  • Q 3.3: TCG とは何ですか?
    A3.3: TCGは、暗号化されたデータストレージの仕様標準を作成および管理するTrusted Computing Groupです。
  • Q 3.4: データ センター向け SAS SSD の場合、エンタープライズ クラスのセキュリティとは何ですか? これらのドライブには、セキュリティを確保し、攻撃から保護する具体的な機能は何ですか?
    A3.4:     このリストは、HX で使用される SED のエンタープライズ クラスの機能と、それらが TCG 標準とどのように関連しているかをまとめたものです。
    1. 自己暗号化ドライブ (SED) は、SED に保存されているデータに強力なセキュリティを提供し、不正なデータ アクセスを防止します。Trusted Computing Group (TCG) は、HDD と SSD の両方で自己暗号化ドライブの機能と利点のリストを作成しました。TCG は、保存データに重点​​を置いた TCG Enterprise SSC (セキュリティ サブシステム クラス) と呼ばれる標準を提供しています。これはすべての SED の要件です。この仕様は、エンタープライズ ストレージで動作するデータ ストレージ デバイスとコントローラーに適用されます。リストには次のものが含まれます。
      • 透明性: システムやアプリケーションの変更は不要です。暗号化キーは、オンボードの真の乱数ジェネレータを使用してドライブ自体によって生成され、ドライブは常に暗号化されています。
      • 管理の容易さ: 管理する暗号化キーはありません。ソフトウェアベンダーは、リモート管理、起動前認証、パスワード回復などのSEDを管理するために標準化されたインターフェースを活用します。
      • 廃棄または再利用コスト: SEDを使用すると、オンボードの暗号化キーを消去できます
      • 再暗号化: SEDを使用すると、データを再暗号化する必要がなくなります。
      • パフォーマンス: SEDパフォーマンスの低下なし、ハードウェアベース
      • 標準化: ドライブ業界全体がTCG/SED仕様に準拠
      • 簡略化: 上流工程への干渉なし
    2. SSD SED は、ドライブを暗号的に消去する機能を提供します。つまり、ドライブに保存されている 256 ビットの暗号化キーを変更するために、ドライブに簡単な認証コマンドを送信できます。これにより、ドライブが完全に消去され、データが残らないことが保証されます。元のホスト システムでさえデータを読み取ることができないため、他のシステムでは絶対に読み取ることができません。暗号化されていない HDD で同様の操作を実行すると数分から数時間かかるのに対し、この操作には数秒しかかからず、高価な HDD 消磁装置やサービスのコストを回避できます。
    3. FIPS (連邦情報処理標準) 140-2 は、機密ではあるが機密扱いではない用途で IT 製品が満たすべき暗号化および関連するセキュリティ要件を規定した米国政府標準です。これは、政府機関や金融サービスおよびヘルスケア業界の企業にもしばしば要求されています。FIPS-140-2 で検証された SSD は、承認された暗号化アルゴリズムを含む強力なセキュリティ プラクティスを使用します。また、製品を使用するために個人または他のプロセスが承認される方法、および他のシステムと安全にやり取りするためにモジュールまたはコンポーネントを設計する方法も規定しています。実際、FIPS-140-2 で検証された SSD ドライブの要件の 4 つは、SED であることです。TCG が認定暗号化ドライブを取得する唯一の方法ではありませんが、TCG Opal および Enterprise SSC 仕様は FIPS 検証への足がかりとなることを覚えておいてください。XNUMX. もう XNUMX つの重要な機能は、セキュア ダウンロードおよび診断です。このファームウェア機能は、ファームウェアに組み込まれたデジタル署名を通じて、ドライブをソフトウェア攻撃から保護します。ダウンロードが必要な場合、デジタル署名によりドライブへの不正アクセスが防止され、偽造ファームウェアがドライブにロードされるのを防ぎます。

SED を使用した Hyperflex のインストール

  • Q 4.1: インストーラーは SED の展開をどのように処理しますか? 特別なチェックはありますか?
    A4.1: インストーラーは UCSM と通信し、システム ファームウェアが正しく、検出されたハードウェアでサポートされていることを確認します。暗号化の互換性がチェックされ、適用されます (例: SED と非 SED の混在なし)。
  • Q 4.2: 展開はそれ以外に何か異なりますか?
    A4.2:     インストールは通常の HX インストールと似ていますが、SED ではカスタム ワークフローはサポートされていません。この操作では、SED の UCSM 認証情報も必要です。
  • Q 4.3: 暗号化ではライセンスはどのように機能しますか? 何か追加で準備する必要があるものはありますか?
    A4.3: キー管理による暗号化を有効にするには、SED ハードウェア (工場から注文したもので、後付けではありません) + HXDP 2.5 + UCSM (3.1(3x)) のみが必要です。2.5 リリースでは、基本 HXDP サブスクリプション以外に追加のライセンスは必要ありません。
  • Q 4.4: 使用できなくなったドライブがある SED システムがある場合はどうなりますか? このクラスターを拡張するにはどうすればよいですか?
    A4.4: サプライヤーからのサポート終了となった PID がある場合、古い PID と互換性のある代替 PID を用意しています。この代替 PID は、RMA、ノード内の拡張、およびクラスターの拡張 (新しいノードを含む) に使用できます。すべての方法がすべてサポートされていますが、移行リリース ノートにも記載されている特定のリリースへのアップグレードが必要になる場合があります。

キー管理

  • Q 5.1: キー管理とは何ですか?
    A5.1: キー管理は、暗号化キーの保護、保存、バックアップ、整理に関連するタスクです。HX はこれを UCSM 中心のポリシーで実装します。
  • Q 5.2: キー構成をサポートするメカニズムは何ですか?
    A5.2: UCSM は、セキュリティ キーを構成するためのサポートを提供します。
  • Q 5.3: どのようなタイプのキー管理が利用可能ですか?
    A5.3: キーのローカル管理に加え、サードパーティのキー管理サーバーを使用したエンタープライズ クラスのリモート キー管理もサポートされています。
  • Q 5.4: リモート キー管理パートナーは誰ですか?
    A5.4: 現在、Vormetric と Gemalto (Safenet) をサポートしており、高可用性 (HA) も含まれています。HyTrust はテスト中です。
  • Q 5.5: リモート キー管理はどのように実装されますか?
    A5.5: リモート キー管理は KMIP 1.1 を介して処理されます。
  • Q 5.6: ローカル管理はどのように構成されますか?
    A5.6: セキュリティ キー (KEK) は、ユーザーが HX Connect で直接設定します。
  • Q 5.7: リモート管理はどのように構成されますか?
    A5.7: リモート キー管理 (KMIP) サーバ アドレス情報とログイン資格情報は、ユーザーによって HX Connect で設定されます。
  • Q 5.8: HX のどの部分が設定のために KMIP サーバーと通信しますか?
    A5.8:     各ノードの CIMC はこの情報を使用して KMIP サーバーに接続し、そこからセキュリティ キー (KEK) を取得します。
  • Q 5.9: キー生成/取得/更新プロセスではどのような種類の証明書がサポートされていますか?
    A5.9:     CA 署名証明書と自己署名証明書の両方がサポートされています。
  • Q 5.10: 暗号化プロセスではどのようなワークフローがサポートされていますか?
    A5.10:     カスタム パスワードを使用した保護/保護解除、およびローカルからリモートへのキー管理変換がサポートされています。キーの再生成操作がサポートされています。安全なディスク消去操作もサポートされています。

ユーザーワークフロー: ローカル

  • Q 6.1: HX Connect では、ローカル キー管理はどこで設定しますか?
    A6.1: 暗号化ダッシュボードで構成ボタンを選択し、ウィザードに従います。
  • Q 6.2: これを開始するには何を準備する必要がありますか?
    A6.2: 32 文字のセキュリティ パスフレーズを入力する必要があります。
  • Q 6.3: 新しい SED を挿入する必要がある場合はどうなりますか?
    6.3 位: UCSM では、ローカル セキュリティ ポリシーを編集し、展開されたキーを既存のノード キーに設定する必要があります。
  • 質問6.4: 新しいディスクを挿入すると何が起こりますか?
    A6.4: ディスクのセキュリティ キーがサーバー (ノード) のセキュリティ キーと一致する場合、ディスクは自動的にロック解除されます。セキュリティ キーが異なる場合、ディスクは「ロック」として表示されます。ディスクをクリアしてすべてのデータを削除するか、正しいキーを入力してロックを解除することができます。これは TAC に連絡する良いタイミングです。

ユーザーワークフロー: リモート

  • Q 7.1: リモート キー管理の構成で注意すべき点は何ですか?
    A7.1: クラスタとKMIPサーバ間の通信は、各ノードのCIMCを介して行われます。つまり、インバンドIPアドレスとDNSがCIMC管理で設定されている場合にのみ、ホスト名をKMIPサーバに使用できます。
  • Q 7.2: 新しい SED を交換または挿入する必要がある場合はどうなりますか?
    A7.2: クラスターはディスクから識別子を読み取り、自動的にロック解除を試みます。自動ロック解除に失敗した場合、ディスクは「ロック」された状態となり、ユーザーはディスクを手動でロック解除する必要があります。資格情報の交換のために、証明書を KMIP サーバーにコピーする必要があります。
  • Q 7.3: クラスタから KMIP サーバに証明書をコピーするにはどうすればよいですか?
    A7.3:     これを行うには 2 つの方法があります。証明書を BMC から KMIP サーバーに直接コピーするか、CSR を使用して CA 署名証明書を取得し、UCSM コマンドを使用して CA 署名証明書を BMC にコピーします。
  • Q 7.4: リモート キー管理を使用するクラスターに暗号化されたノードを追加する場合の考慮事項は何ですか?
    A7.4: KMIP サーバーに新しいホストを追加する場合、使用するホスト名はサーバーのシリアル番号にする必要があります。KMIP サーバーの証明書を取得するには、ブラウザーを使用して KMIP サーバーのルート証明書を取得します。

ユーザーワークフロー: 全般

  • Q 8.1: ディスクを消去するにはどうすればよいですか?
    A8.1: HX Connectダッシュボードでシステム情報を選択します viewそこから、安全に消去するディスクを個別に選択できます。
  • Q 8.2: 誤ってディスクを消去してしまった場合はどうなりますか?
    A8.2: セキュア消去を使用すると、データは永久に破壊されます
  • Q 8.3: ノードを廃止したり、サービス プロバイダーを解約したりするとどうなりますか?file?
    A8.3: これらのアクションのいずれを実行しても、ディスク/コントローラーの暗号化は削除されません。
  • Q 8.4: 暗号化はどのようにして無効になるのですか?
    A8.4: ユーザーは HX Connect で暗号化を明示的に無効にする必要があります。関連付けられているサーバが保護されているときにユーザーが UCSM でセキュリティ ポリシーを削除しようとすると、UCSM は構成エラーを表示し、アクションを許可しません。まずセキュリティ ポリシーを無効にする必要があります。

ユーザーワークフロー: 証明書管理

  • Q 9.1: リモート管理のセットアップ中に証明書はどのように処理されますか?
    A9.1: 証明書は、HX Connect とリモート KMIP サーバーを使用して作成されます。一度作成された証明書は、ほとんど削除されることはありません。
  • Q 9.2: どのような証明書を使用できますか?
    A9.2: 自己署名証明書または CA 証明書のいずれかを使用できます。セットアップ時に選択する必要があります。CA 署名証明書の場合は、証明書署名要求 (CSR) のセットを生成します。署名された証明書は KMIP サーバーにアップロードされます。
  • Q 9.3: 証明書を生成するときに使用するホスト名は何ですか?
    A9.3: 証明書の生成に使用するホスト名は、サーバーのシリアル番号である必要があります。

ファームウェアの更新

  • Q 10.1: ディスク ファームウェアのアップグレードには制限がありますか?
    A10.1: 暗号化対応ドライブが検出されると、そのディスクのディスク ファームウェアの変更は許可されません。
  • Q 10.2: UCSM ファームウェアのアップグレードに制限はありますか?
    A10.2: セキュア状態にあるコントローラがある場合、UCSM/CIMC の UCSM 3.1(3x) 以前のバージョンへのダウングレードは制限されます。

セキュア消去の詳細

  • Q 11.1: Secure Erase とは何ですか?
    A11.1: セキュア消去は、ドライブ上のデータを瞬時に消去します (ディスク暗号化キーを消去)。つまり、ドライブに保存されている 256 ビット暗号化キーを変更するために、ドライブに簡単な認証コマンドを送信できます。これにより、ドライブが完全に消去され、データが残らないことが保証されます。元のホスト システムでさえデータを読み取ることができないため、他のシステムでは読み取ることができません。暗号化されていないディスクで同様の操作を実行すると数分から数時間かかるのに対し、この操作には数秒しかかからず、高価な消磁装置やサービスのコストを回避できます。
  • Q 11.2: セキュア消去はどのように実行されますか?
    A11.2: これは、一度に 1 つのドライブに対して実行される GUI 操作です。
  • Q 11.3: セキュア消去は通常いつ実行されますか?
    A11.3: ユーザーが単一のディスクに対してセキュア消去を開始することはまれな操作です。これは主に、交換のためにディスクを物理的に取り外したり、別のノードに転送したり、近い将来の障害を回避したりする場合に行われます。
  • Q 11.4: セキュア消去にはどのような制限がありますか?
    A11.4: セキュア消去操作は、クラスターの障害回復力に影響が及ばないように、クラスターが正常な場合にのみ実行できます。
  • Q 11.5: ノード全体を削除する必要がある場合はどうなりますか?
    A11.5: すべてのドライブの安全な消去をサポートするために、ノード削除ワークフローとノード置換ワークフローがあります。詳細については、管理者ガイドを参照するか、Cisco TAC にお問い合わせください。
  • Q 11.6: 安全に消去されたディスクは再利用できますか?
    A11.6: 安全に消去されたディスクは、別のクラスターでのみ再利用できます。SED の安全な消去は、ディスク暗号化キー (DEK) を消去することによって行われます。ディスク内のデータは DEK なしでは復号化できません。これにより、データを侵害することなくディスクを再利用または廃止できます。
  • Q 11.7: 消去するディスクにクラスター データの最後のプライマリ コピーが含まれている場合はどうなりますか?
    A11.7: ディスク上のデータは、データ損失を避けるために、クラスター内に他のコピーが存在する必要があります。ただし、最後のプライマリ コピーであるディスクでセキュア消去が要求された場合、少なくとももう 1 つのコピーが利用可能になるまで、この操作は拒否されます。再バランスは、バックグラウンドでこのコピーを作成する必要があります。
  • Q 11.8: ディスクを安全に消去する必要があるのですが、クラスターが正常ではありません。どうすればいいですか?
    A11.8: コマンドライン (STCLI/HXCLI) では、クラスターが正常でなく、ディスクに最後のプライマリ コピーが含まれていない場合にセキュア消去が許可されますが、それ以外の場合は許可されません。
  • 質問11.9: ノード全体を安全に消去するにはどうすればよいですか?
    A11.9: これはまれなシナリオです。ノード内のすべてのディスクのセキュア消去は、ノードをクラスターから削除するときに実行されます。その目的は、ノードを別のクラスターにデプロイするか、ノードを廃止することです。このシナリオでのノードの削除は、次の 2 つの方法で分類できます。
    1. 暗号化を無効にせずにすべてのディスクを安全に消去する
    2. すべてのディスクを安全に消去し、その後そのノード (およびディスク) の暗号化を無効にします。サポートについては、Cisco TAC にお問い合わせください。

クラスターの安全な拡張

  • Q 12.1: 暗号化されたクラスターを拡張できるノードの種類は何ですか?
    A12.1: SED 対応ノードのみを SED を備えた HX クラスタに追加できます。
  • Q 12.2: ローカル キー管理による拡張はどのように処理されますか?
    A12.2: ローカル キー拡張は、外部構成を必要とせず、シームレスに操作されます。
  • Q 12.3: リモート キー管理による拡張はどのように処理されますか?
    A12.3: リモート キー拡張には、証明書/キー管理インフラストラクチャとの連携が必要です。
    • 新しいノードを安全に追加するには証明書が必要です
    • 展開では、証明書のダウンロードへのリンクを含む続行手順を示す警告が表示されます。
    • ユーザーは手順に従って証明書をアップロードし、展開を再試行します。

補足書類

ミクロン:

国際規格

CDET:

  • プロジェクト: CSC.nuova 製品: ucs-blade-server コンポーネント: ucsm

SED機能仕様:

  • EDCS: 1574090

SED CIMC仕様:

メーリングリスト:

ドキュメント / リソース

CISCO HyperFlex HX データ プラットフォーム [pdf] 説明書
HyperFlex HX データ プラットフォーム、HyperFlex、HX データ プラットフォーム、データ プラットフォーム、プラットフォーム

参考文献

関連記事

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *