4장. 이미지 암호화
스토리지 관리자는 특정 RBD 이미지를 암호화하는 데 사용되는 시크릿 키를 설정할 수 있습니다. 이미지 수준 암호화는 RBD 클라이언트가 내부적으로 처리합니다.
krbd 모듈은 이미지 수준 암호화를 지원하지 않습니다.
dm-crypt 또는 QEMU 와 같은 외부 툴을 사용하여 RBD 이미지를 암호화할 수 있습니다.
사전 요구 사항
- 실행 중인 Red Hat Ceph Storage 7 클러스터.
-
루트수준 권한.
4.1. 암호화 형식
RBD 이미지는 기본적으로 암호화되지 않습니다. 지원되는 암호화 형식 중 하나로 포맷하여 RBD 이미지를 암호화할 수 있습니다. 형식 작업은 암호화 메타데이터를 RBD 이미지에 저장합니다. 암호화 메타데이터에는 암호화 형식 및 버전, 암호화 알고리즘 및 모드 사양, 암호화 키를 보호하는 데 사용되는 정보가 포함됩니다.
암호화 키는 암호인 사용자 유지 보안으로 보호되며 RBD 이미지에 영구 데이터로 저장되지 않습니다. 암호화 형식 작업을 수행하려면 암호화 형식, 암호화 알고리즘 및 모드 사양과 암호를 지정해야 합니다. 암호화 메타데이터는 RBD 이미지에 저장되며 현재 원시 이미지 시작 시 작성된 암호화 헤더로 저장됩니다. 즉, 암호화된 이미지의 유효 이미지 크기가 원시 이미지 크기보다 낮습니다.
명시적으로 (re-) 포맷되지 않는 한 암호화된 이미지의 복제는 동일한 형식과 시크릿을 사용하여 본질적으로 암호화됩니다.
포맷하기 전에 RBD 이미지에 기록된 모든 데이터는 스토리지 리소스를 차지할 수 있더라도 읽을 수 없게 될 수 있습니다. 저널 기능이 활성화된 RBD 이미지는 암호화할 수 없습니다.
