Red Hat Summit4.2. 암호화 로드
기본적으로 모든 RBD API는 암호화되지 않은 RBD 이미지와 동일한 방식으로 암호화된 RBD 이미지를 처리합니다. 이미지 어디에서나 원시 데이터를 읽거나 쓸 수 있습니다. 이미지에 원시 데이터를 작성하면 암호화 형식의 무결성이 발생할 수 있습니다. 예를 들어 원시 데이터는 이미지 시작 부분에 있는 암호화 메타데이터를 재정의할 수 있습니다. 암호화된 RBD 이미지에서 암호화된 입력/출력(I/O) 또는 유지 관리 작업을 안전하게 수행하려면 이미지를 연 직후 추가 암호화 로드 작업을 적용해야 합니다.
암호화 로드 작업을 수행하려면 이미지 자체와 명시적으로 포맷된 각 이미지의 암호화 키 잠금을 위한 암호화 형식과 암호를 지정해야 합니다. 열린 RBD 이미지의 모든 I/O는 복제된 RBD 이미지에 대해 암호화되거나 암호 해독되며, 여기에는 상위 이미지에 대한 IO가 포함됩니다. 암호화 키는 RBD 클라이언트가 이미지가 닫힐 때까지 메모리에 저장됩니다.
RBD 이미지에 암호화가 로드되면 다른 암호화 로드 또는 형식 작업을 적용할 수 없습니다. 또한 RBD 이미지 크기를 검색하는 API 호출과 열린 이미지 컨텍스트를 사용하여 상위 중복을 수행하면 유효한 이미지 크기 및 효과적인 상위 중복이 각각 반환됩니다. RBD 이미지를 rbd-nbd 를 통해 블록 장치로 매핑하면 암호화가 자동으로 로드됩니다.
이미지 크기를 검색하고 열린 이미지 컨텍스트를 사용하여 상위 중복을 검색하기 위한 API 호출은 유효 이미지 크기와 유효 상위 중복을 반환합니다.
암호화된 이미지의 복제가 명시적으로 포맷되고, 복제된 이미지를 병합하거나 축소하는 경우 상위 스냅샷에서 복사한 이미지 형식에 따라 상위 데이터를 다시 암호화해야 하므로 투명해야 합니다. flatten 작업이 발행되기 전에 암호화가 로드되지 않으면 복제된 이미지에서 이전에 액세스할 수 있는 모든 상위 데이터가 읽을 수 없게 될 수 있습니다.
암호화된 이미지의 복제가 명시적으로 포맷된 경우 복제된 이미지를 축소하는 작업은 투명해집니다. 이는 스냅샷이 포함된 복제 이미지 또는 복제된 이미지가 오브젝트 크기에 일치하지 않는 크기로 축소되는 복제 이미지와 같은 시나리오에서 병합과 유사하게 상위 스냅샷에서 일부 데이터를 복사하는 작업이 관련되기 때문입니다. 축소 작업 전에 암호화를 로드하지 않으면 복제된 이미지에서 이전에 액세스할 수 있는 모든 상위 데이터를 읽을 수 없게 될 수 있습니다.
