写在前面最近在研究NetApp的NVME扩展柜NS224于是就有了对于NetApp NVME SSD盘的一些问题看到市面上有各种NVME的盘但是NetApp的ONTAP是如何支持的花了些时间研究了下下面就是这个学习和整理的笔记有了这个指导在NetApp攒机的时候就会少走很多弯路。码字不易欢迎点赞、关注、添加vStorageExpert进一步的探讨交流。文章写的有点乱来源于官网的一些产品介绍可能随着时间的推移新的容量的引进新的feature的推出会有所变化或者过失各位看官就自己把握吧。大方向肯定是对的这个无需置疑对于实际的案例可以再到NetApp官网做进一步的核实。三种NVME的SSDNon-encrypting非加密盘SEDSelf-Encrypting Drive自加密盘NSENetApp Storage EncryptionNetApp 存储加密盘备件号X4010A SED 1.9TBX4011A SED 3.8TBX4012A NSE 3.8TBX4013A SED 7.6TBX4014A SED 15.3TBX4016A-12-C non-SED 3.8TB备件号是最直接的判断外观判断不出来看到X4012A→ 这是NSE看到X4016A-12-C→ 这是Non-encrypting / non-SED看到X4010A / X4011A / X4013A / X4014A→ 都是SED三种盘都是什么1Non-encrypting非加密盘这种盘不做 AES-256 加密也不支持密钥管理。定位是给那些不需要加密、或者因为进口/合规原因不方便使用加密盘的场景使用。理解成最“朴素”的版本按照我的理解应该是国内让使用的版本没有加密不需要管密钥使用最简单但不适合对数据静态加密有要求的环境2SED自加密盘SED 是最“标准”的 NS224 NVMe SSD 类型。它盘内本身支持 AES-256 加密但不一定要求必须启用锁盘/密钥锁定。也就是说这种盘只是“具备加密能力”而不一定要进入强管控模式。从 ONTAP 9.6 开始SED 可以配合 OKM板载密钥管理 或 KMIP 外部密钥管理服务器使用。这个类型的容量选择最多1.9TB3.8TB7.6TB15.3TB所以从实操上看SED 是默认最通用、最主流的选择。3NSENetApp Storage EncryptionNSE 也是加密盘也支持 AES-256但它和 SED 最大的不同在于它是经过 FIPS 140-2 Level 2 认证的。NSE SSD 满足 NIST FIPS 140-2 Level 2 标准而 SED 虽然也加密但不是 FIPS validated。这意味着 NSE 更偏向于金融、政企、涉密、审计要求更严格的环境明确要求“FIPS 验证”的场景我看到的 NSE盘只有 3.8TB。 这种盘在中国大陆我觉得是不可以用的。三者的核心区别最关键的差异Non-encrypting不加密SED加密但不一定强制锁盘NSE加密而且是更强的、带 FIPS 合规属性的版本再展开详细讨论下1是否加密Non-encrypting否SED是NSE是2是否 FIPS 140-2 Level 2 验证Non-encrypting否SED否NSE是这个区别很重要。很多人会误以为“只要盘是加密盘就等于合规盘”但这里看起来不是这个概念SED 有加密能力NSE 有加密能力 有 FIPS 认证属性3是否可以不启用 key lockingNon-encrypting可以本来就没有锁盘概念SED可以不锁也能用NSE不可以文档写的是 “Use without key locking: No”这说明 NSE 更像“强管控版”。4密钥管理方式Non-encrypting不需要 key managerSED支持 OKM 或 KMIPNSE也支持 OKM 或 KMIP5容量选择Non-encrypting3.8TBSED1.9 / 3.8 / 7.6 / 15.3TBNSE3.8TB所以如果你要更大容量比如 7.6TB 或 15.3TB只能是 SED。如何使用场景 1普通生产环境想要主流、通用、容量选择多优先选 SED。原因很简单容量范围最完整是文档里的标准 NVMe SSD 类型有加密能力也可以先不做 key locking后续还能接 OKM/KMIP 管理这类场景通常是最省心的我觉得这个类型应该是订购最多的。场景 2明确有合规要求特别是要求 FIPS。其实这个场景在中国不存在我们国家法律规定是不容许使用这种盘的。选 NSE。因为只有 NSE 写明了 FIPS 140-2 Level 2 validated。但代价也很明确容量选择少文档里只有 3.8TB使用时要考虑密钥管理不能按普通 SED 的思路随便混用场景 3不需要加密或者因为地区/项目原因不方便用加密盘选 Non-encrypting。这种最简单不涉及密钥体系但也失去了静态数据加密能力。这个在国内应该有使用。混插和配置时最要注意的点因为有三种不同的盘所以肯定就存在这三种盘是否可以同时使用是否同时支持的问题。1SED 和 Non-encrypting 可以混Non-encrypting 和 SED 可以在同一个 RAID group、aggregate、HA pair 里配置。也就是说如果你现网里已经有 SED再增加一部分 non-encrypting文档来看是允许同 HA 对内共存的。2NSE 不能和 SED 放在同一个 HA pair这是硬限制。NSE 和 SED SSDs 必须位于不同的 HA pair。这个限制你一定要记住因为很多人会误以为 “NSE 只是更高级的 SED”于是想混插这是不行的。3关于 NSE 和 non-encrypting 能不能混这个应该也是不行的。强加密和不加密肯定不可以放到一起来使用的。扩展柜NS224上的使用方式1NS224 一共有 24 个 NVMe 盘位2U 机箱24 块内部 NVMe SSD可做 12 / 18 / 24 盘配置增容包是 6 盘一组订购敲黑板它的思路不是“一块一块随便加”而是初始12、18、24 盘后续按 6 盘 pack 增长2装盘时要“从外向内”填充这意味着12 盘配置不是任意挑 12 个槽位插18 盘配置也不是随便留空它有固定 bay population 规则也就是说NS224 的“如何使用”不仅是选哪种盘还包括按规定槽位填盘。3采用标准 ONTAP RAID 策略follows standard ONTAP RAID policies使用 quadrant assignment使用 RD2root-data-data分区所以这些盘不是简单 JBOD 用法而是完全纳入 ONTAP 的磁盘归属、分区和 RAID 体系。