第4章 Ceph のディスク上の暗号化
LUKS ディスク暗号化およびその利点について
Linux Unified Key Setup-on-disk-format (LUKS) メソッドを使用して、Linux システム上のパーティションを暗号化できます。LUKS は、ブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツを保護するのに適しています。
ceph-ansible ユーティリティーを使用して、暗号化された OSD ノードを作成して、保存したデータを保護します。詳細は、『Red Hat Ceph Storage 4 インストールガイド』の 「Red Hat Ceph Storage クラスターのインストール」 セクションを参照してください。
LUKS の詳細は、Red Hat Enterprise Linux 7 の『セキュリティーガイド』の「Overview of LUKS」セクションを参照してください。
ceph-ansible で暗号化したパーティションの作成方法
OSD のインストール時に、ceph-ansible は暗号化されたパーティションを作成する ceph-disk ユーティリティーを呼び出します。
ceph-disk ユーティリティーは、データ (ceph data) パーティションおよびジャーナル (ceph journal) パーティションに加えて、小規模な ceph lockbox パーティションを作成します。また、ceph-disk は、cephx client.osd-lockbox を作成します。ceph lockbox パーティションには、client.osd-lockbox が、暗号化された ceph data および ceph journal パーティションを復号化するのに必要な LUKS 秘密鍵を取得するのに使用する鍵ファイルが含まれています。
次に、ceph-disk は cryptsetup ユーティリティーを呼び出して、ceph data パーティションおよび ceph journal パーティション用に 2 つの dm-crypt デバイスを作成します。dm-crypt デバイスは、ceph data および ceph journal GUID を識別子として使用します。
ceph-disk コマンドは、Red Hat Ceph Storage 4 では非推奨になりました。ceph-volume コマンドは、コマンドラインインターフェースから OSD をデプロイするのに推奨される方法です。現在、ceph-volume コマンドは lvm プラグインのみをサポートしています。
ceph-volume コマンドの使用に関する詳細は、『Red Hat Ceph Storage 管理ガイド』 を参照してください。
ceph-ansible による LUKS 鍵の処理方法
ceph-ansible ユーティリティーは、LUKS 秘密鍵を Ceph Monitor の key-value ストアに保存します。各 OSD には、OSD データとジャーナルを含む dm-crypt デバイスを復号化する独自のキーがあります。暗号化したパーティションは、システムの起動時に自動的に復号化されます。
