Criptografar discos usando SED e armazenar chaves no TPM?

Estou comprando servidores recentemente e todos eles têm discos que oferecem suporte à criptografia de disco completo do TCG Opal (também conhecido como SED). O que eu gostaria de fazer é:

• Armazena dados criptografados em repouso nos discos (NVMe e SAS).
• Não será necessário digitar uma senha / frase secreta na inicialização do servidor.
• As chaves de criptografia devem ser armazenadas no módulo TPM 2.0 do servidor.

Para simplificar, o objetivo é "bloquear" os dados no servidor, garantindo que, se um disco for removido e inserido em outra máquina, os dados estarão inacessíveis. Eu vi sedutil mas ainda não joguei com ele como parece como isso requer a inserção de uma senha em cada inicialização. Eu tenho centenas de servidores que eu gostaria de ativar isso, então ter que digitar uma senha (é por disco?) Na reinicialização não é uma opção. O TPM parece um lugar natural para armazenar esse tipo de coisa, então estou me perguntando se alguém fez algo assim. A única referência que posso encontrar para algo assim é em este papel branco da Micron . Todos os servidores estão executando o Ubuntu 16.04 (Xenial). Há mais de um disco por servidor, se isso importa.