24.7. 暗号化された Stratis プールの作成
データを保護するために、1 つ以上のブロックデバイスから暗号化された Stratis プールを作成できます。
暗号化された Stratis プールを作成すると、カーネルキーリングはプライマリー暗号化メカニズムとして使用されます。その後のシステムを再起動すると、このカーネルキーリングは、暗号化された Stratis プールのロックを解除します。
1 つ以上のブロックデバイスから暗号化された Stratis プールを作成する場合は、次の点に注意してください。
-
各ブロックデバイスは
cryptsetup
ライブラリーを使用して暗号化され、LUKS2
形式を実装します。 - 各 Stratis プールは、一意の鍵を持つか、他のプールと同じ鍵を共有できます。これらのキーはカーネルキーリングに保存されます。
- Stratis プールを構成するブロックデバイスは、すべて暗号化または暗号化されていないデバイスである必要があります。同じ Stratis プールに、暗号化したブロックデバイスと暗号化されていないブロックデバイスの両方を含めることはできません。
- 暗号化 Stratis プールのデータ層に追加されるブロックデバイスは、自動的に暗号化されます。
前提条件
- Stratis v2.1.0 以降がインストールされている。詳細は、Stratis のインストール を参照してください。
-
stratisd
サービスを実行している。 - Stratis プールを作成するブロックデバイスは使用されておらず、マウントされていない。
- Stratis プールを作成するブロックデバイスが、それぞれ 1GB 以上である。
-
IBM Z アーキテクチャーでは、
/dev/dasd*
ブロックデバイスをパーティションに分割している。Stratis プールでパーティションを使用します。
DASD デバイスのパーティション設定の詳細は、IBM Z での Linux インスタンスの設定 を参照してください。
手順
Stratis プールで使用する各ブロックデバイスに存在するファイルシステム、パーティションテーブル、または RAID 署名をすべて削除します。
# wipefs --all block-device
ここで、
block-device
は、ブロックデバイスへのパスになります (例:/dev/sdb
)。キーセットをまだ作成していない場合には、以下のコマンドを実行してプロンプトに従って、暗号化に使用するキーセットを作成します。
# stratis key set --capture-key key-description
ここでの
key-description
は、カーネルキーリングで作成されるキーへの参照になります。暗号化した Stratis プールを作成し、暗号化に使用する鍵の説明を指定します。
key-description
オプションを使用する代わりに、--keyfile-path
オプションを使用してキーのパスを指定することもできます。# stratis pool create --key-desc key-description my-pool block-device
ここでは、以下のようになります。
key-description
- 直前の手順で作成したカーネルキーリングに存在するキーを参照します。
my-pool
- 新しい Stratis プールの名前を指定します。
block-device
空のブロックデバイスまたは消去したブロックデバイスへのパスを指定します。
注記1 行に複数のブロックデバイスを指定します。
# stratis pool create --key-desc key-description my-pool block-device-1 block-device-2
新しい Stratis プールが作成されていることを確認します。
# stratis pool list