Migrando volumes para um conjunto criptografado

Para os sistemas com criptografia ativada, é possível migrar volumes existentes de conjuntos não criptografados para conjuntos criptografados. A GUI de gerenciamento e a interface da linha de comandos podem ser usadas para migrar volumes para conjuntos criptografados.

Durante a configuração do sistema na GUI de gerenciamento, é possível ativar e habilitar licenças de criptografia. Todos os conjuntos que são criados após a criptografia ser ativada são designados a uma chave que pode ser usada para criptografar e decriptografar dados. Entretanto, se a criptografia foi configurada depois de os volumes já terem sido designados a conjuntos não criptografados, é possível migrar esses volumes para um conjunto criptografado usando conjuntos-filhos. Ao criar um conjunto-filho depois de a criptografia estar ativada, uma chave de criptografia é criada para o conjunto-filho mesmo quando o conjunto pai não está criptografado. É possível, então, usar o espelhamento de volume para migrar os volumes do conjunto pai não criptografado para o conjunto-filho criptografado. É possível usar a GUI de gerenciamento ou a interface da linha de comandos para migrar volumes para um conjunto criptografado.

O sistema suporta tanto armazenamento interno e armazenamento externo. O armazenamento interno consiste nas matrizes que são conectadas diretamente ao sistema por meio de conexões Serial-attached SCSI. O armazenamento externo consiste em matrizes que estão conectadas ao sistema por meio de uma rede de área de armazenamento (SAN). Dependendo do tipo de armazenamento subjacente usado pelo volume, o processo de migração é diferente.

Se você estiver migrando volumes que usem discos gerenciados conectados à SAN, as etapas de migração para Migrando volumes que usam MDisks conectados à SAN deverão ser concluídas.

Migrando volumes que usam MDisks conectados à SAN

Para migrar volumes que usam MDisks conectados à SAN na GUI de gerenciamento, conclua estas etapas:

  1. Na GUI de gerenciamento, selecione Conjuntos > Conjuntos.
  2. Clique com o botão direito no conjunto pai não criptografado que contém os volumes que deseja migrar e selecione Criar Conjunto Filho.
  3. Na página Criar Conjunto Filho, insira o nome do conjunto-filho e a quantidade de capacidade. Certifique-se de selecionar capacidade suficiente para acomodar os volumes migrados. A criptografia é selecionada por padrão quando o sistema está ativado para criptografia.
  4. Clique em Criar. Depois de o conjunto-filho ser criado, é possível migrar os volumes para o conjunto-filho ao incluir cópias de volume.
  5. Na GUI de gerenciamento, selecione Volumes > Volumes por Conjuntos.
  6. Selecione o conjunto pai não criptografado para exibir todos os volumes.
  7. Clique com o botão direito no volume e selecione Incluir Cópia do Volume....
  8. Na página Incluir Cópia do Volume, selecione Básico para o tipo de cópia que está sendo criado. Na lista de conjuntos disponíveis, selecione o conjunto-filho como o conjunto de destino para a cópia do volume.
  9. Clique em Incluir.
  10. Repita essas etapas para incluir cópias do volume no conjunto-filho criptografado para os volumes remanescentes no conjunto pai.
  11. Após todas as cópias serem sincronizadas no conjunto-filho criptografado, é possível excluir as cópias primárias do conjunto pai. O conjunto pai vazio deve permanecer não utilizado para usar os volumes criptografados no conjunto-filho.

Para migrar volumes que usam discos gerenciados conectados à SAN na interface da linha de comandos, conclua essas etapas:

  1. Na interface da linha de comandos, insira o comando a seguir para criar um conjunto-filho:
    mkmdiskgrp -name my_encrypted_child_pool -parentmdiskgrp mypool -encrypt yes
    em que my_encrypted_child_pool é o nome do conjunto-filho e mypoolé o nome do conjunto pai.
  2. Emita o comando da CLI addvdiskcopy para criar cópias espelhadas dos volumes que estão no conjunto pai no novo conjunto-filho. No exemplo a seguir, my_encrypted_child_pool está o nome do novo conjunto-filho e volume1 é o nome do volume que está sendo copiado.
    addvdiskcopy -autodelete -mdiskgrp my_encrypted_child_pool -vdisk volume1
    Use o operando -autodelete para excluir automaticamente a cópia primária do volume após a cópia sincronizar.
  3. Repita a etapa 2 até que todos os volumes do pai original contenham cópias espelhadas no novo conjunto-filho. O conjunto pai vazio deve permanecer não utilizado para usar os volumes criptografados no conjunto-filho.

Migrando volumes que usam MDisks internos

Se você tiver gabinetes conectados internamente que não suportam a criptografia ou que não possuem uma licença de criptografia que esteja ativada e habilitada e quiser volumes criptografados, ainda é possível migrar volumes para conjuntos criptografados. Para poder migrar volumes, deve-se fazer o upgrade do software para uma versão que suporte criptografia e obter uma licença de criptografia. Após receber documentos da autorização para a licença de criptografia, deve-se ativar a licença e ativar a função de criptografia no sistema antes de tentar a migração de quaisquer volumes. Além disso, deve-se assegurar que o conjunto não criptografado contém extensões livres suficientes para concluir a migração. A migração falhará se não houver extensões livres suficientes disponíveis. Você tem duas opções para assegurar que o conjunto contém extensões suficientes:
  • Se você tiver unidades sobressalentes, crie uma nova matriz criptografada com as unidades sobressalentes.
  • Se você não tiver unidades sobressalentes, inclua MDisks externos não designados no conjunto pai e crie um novo conjunto-filho criptografado. Se você escolheu essa opção e pretende manter o MDisk externo no conjunto após a migração, então, use as instruções em Migrando volumes que usam MDisks conectados à SAN.

Essas etapas presumem que essas tarefas foram concluídas.

Para migrar volumes que usam MDisks internos na GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Conjuntos > MDisks por Conjuntos.
  2. Selecione o conjunto e clique com o botão direito no MDisk que representa a matriz que deseja excluir e selecione Remover.
  3. Para incluir a matriz de volta no conjunto, selecione MDisk por Conjuntos. O novo armazenamento interno disponível é exibido na parte inferior da área de janela. Selecione o ícone que representa a classe da unidade das unidades que estavam anteriormente na matriz que foi excluída e selecione Atribuir. A nova matriz é criptografada por padrão. Depois de todas as matrizes estarem criptografadas, o conjunto é considerado criptografado e os dados nos volumes nesse conjunto também são criptografados.
  4. Para verificar se os dados nesses volumes foram migrados para matrizes criptografadas e agora estiverem criptografadas, selecione Volumes > Volume por conjuntos.
  5. Selecione o conjunto e verifique se os volumes listados estão criptografados. Um ícone de chave é exibido na coluna Criptografia para indicar que os dados no volume estão criptografados.
Para volumes migrados que usam disco gerenciado interno na interface da linha de comandos, conclua essas etapas:
  1. Para remover uma matriz do conjunto, insira o seguinte comando: 
    rmarray -mdisk mdisk3 pool2
    Neste exemplo, mdisk3 é a matriz removida de pool2.
  2. Para criar uma nova matriz criptografada e incluir a matriz no conjunto de armazenamentos, insira o seguinte comando:
    mkarray -level raid5 -drive 0:1:2:3 -mdiskgrp pool2
    Nesse exemplo, a matriz é criptografada por padrão, pois a criptografia é ativada no grupo de E/S da matriz. Os dados armazenados nos volumes que usam a matriz estão agora criptografados.
  3. Para verificar se os volumes no conjunto estão criptografados, insira o seguinte comando:
    lsvdisk
    O estado de criptografia será yes se todos os dados no volume estiverem criptografados.