3.4. REST での暗号化
Red Hat Ceph Storage は、いくつかのシナリオでは、残りの暗号化をサポートします。
-
Ceph Storage クラスター: Ceph Storage クラスターは、OSD の Linux Unified Key Setup または LUKS 暗号化と、それに対応するジャーナル、ライトアヘッドログ、メタデータデータベースをサポートします。このシナリオでは、クライアントが Ceph Block Device、Ceph Filesystem、Ceph Object Storage クラスター、または
librados
上に構築されたカスタムアプリケーションに関係なく、Ceph は残りのデータをすべて暗号化します。 - Ceph Object Gateway: Ceph Storage クラスターはクライアントオブジェクトの暗号化をサポートします。Ceph Object Gateway がオブジェクトを暗号化する際に、それらは Red Hat Ceph Storage クラスターとは独立して暗号化されます。また、送信されるデータは、Ceph Object Gateway と Ceph Storage Cluster の間で暗号化された形式になります。
Ceph Storage クラスターの暗号化
Ceph Storage クラスターは、OSD に保存されているデータの暗号化をサポートします。Red Hat Ceph Storage は、dmcrypt
を指定して lvm
で論理ボリュームを暗号化できます。つまり、ceph-volume
によって呼び出される lvm
は、物理ボリュームではなく OSD の論理ボリュームを暗号化し、同じ OSD キーを使用するパーティション以外の LVM デバイスの暗号化を行う場合があります。論理ボリュームを暗号化することで、より多くの設定の柔軟性が可能になります。
LUKS v1 は、Linux ディストリビューション間で最も幅広いサポートを持つため、Ceph は LUKS v2 ではなく LUKS v1 を使用します。
OSD の作成時に、lvm
は秘密鍵を生成し、stdin
(標準入力) を介して JSON ペイロードでその鍵を Ceph モニターにセキュアに渡します。暗号化キーの属性名は dmcrypt_key
です。
システム管理者は、暗号化を明示的に有効にする必要があります。
デフォルトでは、Ceph は OSD に保存されているデータを暗号化しません。システム管理者は、Ceph Ansible で dmcrypt
を有効にする必要があります。group_vars/osds.yml
ファイルで dmcrypt
オプションを設定する方法は、『Red Hat Ceph Storage インストールガイド』の「OSD Ansible 設定」を参照してください。
LUKS および dmcrypt
は、保存データの暗号化のみに対応し、移動中のデータの暗号化には対応しません。
Ceph Object Gateway 暗号化
Ceph Object Gateway は、S3 API を使用したお客様によって提供されるキーによる暗号化をサポートします。お客様が提供する鍵を使用する場合、S3 クライアントは暗号鍵を各リクエストと共に渡して、暗号化されたデータの読み取りまたは書き込みを行います。これらのキーを管理するのは、お客様の責任です。各オブジェクトの暗号化に使用する Ceph Object Gateway の鍵を覚えておく必要があります。
詳細は、『Red Hat Ceph Storage 開発者ガイド』の「S3 API サーバー側暗号化」を参照してください。