"ロック済み (Locked)" ステータスについて

HyperFlex は 自己暗号化ドライブ（SED）に対応しています。
SED 対応のクラスタの"暗号化"メニューから暗号キーを設定すると、暗号化が有効となり、"システム情報"の"ディスク"では "暗号化"が"無効"から"有効"に変わります（システムディスクは、SED には対応していないので、常に"無効"です）。

しかし、なんらかの理由で暗号キーでディスクのデータを復号化できない状態になると、そのディスク ステータスは "無視 (Ignored)"、暗号化状況は"ロック済み (Locked)"となり、使用できなくなります。

この時、"システムの概要"からはディスク ステータスが"無視"になっていることはわかるものの、暗号化状況が"ロック済み"になっていることまでは確認できません。従って、SED 対応クラスタでディスク ステータスが"無視"になっている場合は、ディスクの情報（システム情報 > ディスク）まで確認します。

"ロック済み"になる状況

以下のような場合、暗号キーで復号化できずに"ロック済み"になります。

• 暗号キーが合わない。
  他の SED クラスタからディスクを移設してきて、暗号キーが異なっていると"ロック済み"になります。
• 暗号キーを取得できない。
  ノード起動時に暗号キーを取得します。この時、キーを管理しているデバイス（UCS Manager や鍵管理サーバなど）との通信が正常に行えない場合、"ロック済み"になってしまいます（基本的に、ノード上の全 SED ディスクが"ロック済み"になる）。
  

補足：暗号キーのやり取り

暗号キーは、キー管理デバイスと SED ディスク間を以下のコンポーネント経由でやり取りされています。
    キー管理デバイス <--> CIMC <--> SCVM <--> Storage Controller <--> SED ディスク
CIMC と SCVM 間の通信は、管理ネットワークではなく、内部的なネットワークを使用します。この時、SCVM は 169.254.254.2 という IP を持った USB インタフェース（SED 対応クラスタの SCVM のみ）を使っています。

hxshell:~$ ifconfig usb0
usb0 Link encap:Ethernet HWaddr 0a:xx:xx:xx:xx:xx
inet addr:169.254.254.2 Bcast:169.254.254.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

障害事例：

症状：HX クラスタをサーバも含めて再起動したところ、HXクラスタがオンラインにならなくなった。
原因：複数台のノードで、全SEDディスクが"ロック済み"になっていた。CSCvx67455 が原因で SCVM の USB インタフェースが消えてしまい、暗号キーが取得できなくなっていた。

暗号化ステータスを確認するコマンド

※ 本ドキュメント公開時点では、diag ユーザではエラーになるコマンドのため、root 権限になるために TAC のサポートが必須のコマンドになっています。

HX Connect ではなく SCVM からも暗号化の状況を確認可能です。
SCVM で "/usr/share/springpath/storfs-appliance" に移動後、"sed-client.sh -l" コマンドで暗号化されているかどうかや、ロック状態になっていないかを確認できます。

"Locked" が "1" だと、"ロック済み"ということになります。

以上です。