写在前面
最近在研究NetApp的NVME扩展柜NS224,于是就有了对于NetApp NVME SSD盘的一些问题,看到市面上有各种NVME的盘,但是NetApp的ONTAP是如何支持的,花了些时间研究了下,下面就是这个学习和整理的笔记,有了这个指导,在NetApp攒机的时候就会少走很多弯路。
码字不易,欢迎点赞、关注、添加v:StorageExpert,进一步的探讨交流。
文章写的有点乱,来源于官网的一些产品介绍,可能随着时间的推移,新的容量的引进,新的feature的推出,会有所变化或者过失,各位看官就自己把握吧。大方向肯定是对的,这个无需置疑,对于实际的案例,可以再到NetApp官网做进一步的核实。
三种NVME的SSD
- Non-encrypting(非加密盘)
- SED(Self-Encrypting Drive,自加密盘)
- NSE(NetApp Storage Encryption,NetApp 存储加密盘)
备件号:
- X4010A = SED 1.9TB
- X4011A = SED 3.8TB
- X4012A = NSE 3.8TB
- X4013A = SED 7.6TB
- X4014A = SED 15.3TB
- X4016A-12-C = non-SED 3.8TB
备件号是最直接的判断,外观判断不出来:
- 看到 X4012A → 这是 NSE
- 看到 X4016A-12-C → 这是 Non-encrypting / non-SED
- 看到 X4010A / X4011A / X4013A / X4014A → 都是 SED
三种盘都是什么?
1)Non-encrypting:非加密盘
这种盘不做 AES-256 加密,也不支持密钥管理。定位是:给那些不需要加密、或者因为进口/合规原因不方便使用加密盘的场景使用。理解成最"朴素"的版本,按照我的理解应该是国内让使用的版本:
- 没有加密
- 不需要管密钥
- 使用最简单
- 但不适合对数据静态加密有要求的环境
2)SED:自加密盘
SED 是最"标准"的 NS224 NVMe SSD 类型。它盘内本身支持 AES-256 加密,但不一定要求必须启用锁盘/密钥锁定。也就是说,这种盘只是"具备加密能力",而不一定要进入强管控模式。从 ONTAP 9.6 开始,SED 可以配合 OKM(板载密钥管理) 或 KMIP 外部密钥管理服务器使用。
这个类型的容量选择最多:
- 1.9TB
- 3.8TB
- 7.6TB
- 15.3TB
所以从实操上看,SED 是默认最通用、最主流的选择。
3)NSE:NetApp Storage Encryption
NSE 也是加密盘,也支持 AES-256,但它和 SED 最大的不同在于:它是经过 FIPS 140-2 Level 2 认证的。NSE SSD 满足 NIST FIPS 140-2 Level 2 标准,而 SED 虽然也加密,但不是 FIPS validated。
这意味着 NSE 更偏向于:
- 金融、政企、涉密、审计要求更严格的环境
- 明确要求"FIPS 验证"的场景
我看到的 NSE盘只有 3.8TB。 这种盘在中国大陆我觉得是不可以用的。
三者的核心区别
最关键的差异:
- Non-encrypting:不加密
- SED:加密,但不一定强制锁盘
- NSE:加密,而且是更强的、带 FIPS 合规属性的版本
再展开详细讨论下:
1)是否加密
- Non-encrypting:否
- SED:是
- NSE:是
2)是否 FIPS 140-2 Level 2 验证
- Non-encrypting:否
- SED:否
- NSE:是
这个区别很重要。很多人会误以为"只要盘是加密盘就等于合规盘",但这里看起来不是这个概念:
- SED = 有加密能力
- NSE = 有加密能力 + 有 FIPS 认证属性
3)是否可以不启用 key locking
- Non-encrypting:可以,本来就没有锁盘概念
- SED:可以,不锁也能用
- NSE:不可以,文档写的是 "Use without key locking: No"
这说明 NSE 更像"强管控版"。
4)密钥管理方式
- Non-encrypting:不需要 key manager
- SED:支持 OKM 或 KMIP
- NSE:也支持 OKM 或 KMIP
5)容量选择
- Non-encrypting:3.8TB
- SED:1.9 / 3.8 / 7.6 / 15.3TB
- NSE:3.8TB
所以如果你要更大容量,比如 7.6TB 或 15.3TB,只能是 SED。
如何使用?
场景 1:普通生产环境,想要主流、通用、容量选择多
优先选 SED。原因很简单:
- 容量范围最完整
- 是文档里的标准 NVMe SSD 类型
- 有加密能力
- 也可以先不做 key locking
- 后续还能接 OKM/KMIP 管理
这类场景通常是最省心的,我觉得这个类型应该是订购最多的。
场景 2:明确有合规要求,特别是要求 FIPS。其实这个场景在中国不存在,我们国家法律规定是不容许使用这种盘的。
选 NSE。因为只有 NSE 写明了 FIPS 140-2 Level 2 validated。但代价也很明确:
- 容量选择少,文档里只有 3.8TB
- 使用时要考虑密钥管理
- 不能按普通 SED 的思路随便混用
场景 3:不需要加密,或者因为地区/项目原因不方便用加密盘
选 Non-encrypting。
这种最简单,不涉及密钥体系,但也失去了静态数据加密能力。这个在国内应该有使用。
混插和配置时最要注意的点
因为有三种不同的盘,所以肯定就存在这三种盘是否可以同时使用,是否同时支持的问题。
1)SED 和 Non-encrypting 可以混
Non-encrypting 和 SED 可以在同一个 RAID group、aggregate、HA pair 里配置。
也就是说,如果你现网里已经有 SED,再增加一部分 non-encrypting,文档来看是允许同 HA 对内共存的。
2)NSE 不能和 SED 放在同一个 HA pair
这是硬限制。NSE 和 SED SSDs 必须位于不同的 HA pair。
这个限制你一定要记住,因为很多人会误以为 "NSE 只是更高级的 SED",于是想混插,这是不行的。
3)关于 NSE 和 non-encrypting 能不能混
这个应该也是不行的。强加密和不加密肯定不可以放到一起来使用的。
扩展柜NS224上的使用方式
1)NS224 一共有 24 个 NVMe 盘位
- 2U 机箱
- 24 块内部 NVMe SSD
- 可做 12 / 18 / 24 盘配置
- 增容包是 6 盘一组订购
敲黑板,它的思路不是"一块一块随便加",而是:
- 初始:12、18、24 盘
- 后续:按 6 盘 pack 增长
2)装盘时要"从外向内"填充
这意味着:
- 12 盘配置不是任意挑 12 个槽位插
- 18 盘配置也不是随便留空
- 它有固定 bay population 规则
也就是说,NS224 的"如何使用"不仅是选哪种盘,还包括按规定槽位填盘。
3)采用标准 ONTAP RAID 策略
- follows standard ONTAP RAID policies
- 使用 quadrant assignment
- 使用 RD2(root-data-data)分区
所以这些盘不是简单 JBOD 用法,而是完全纳入 ONTAP 的磁盘归属、分区和 RAID 体系。