25.7. 암호화된 Stratis 풀 생성
데이터를 보호하려면 하나 이상의 블록 장치에서 암호화된 Stratis 풀을 생성할 수 있습니다.
암호화된 Stratis 풀을 만들 때 커널 인증 키는 기본 암호화 메커니즘으로 사용됩니다. 이후 시스템이 재부팅된 후 이 커널 인증 키를 사용하여 암호화된 Stratis 풀을 잠금 해제합니다.
하나 이상의 블록 장치에서 암호화된 Stratis 풀을 생성할 때 다음을 확인합니다.
-
각 블록 장치는
cryptsetup라이브러리를 사용하여 암호화되며LUKS2형식을 구현합니다. - 각 Stratis 풀은 고유한 키를 보유하거나 다른 풀과 동일한 키를 공유할 수 있습니다. 이러한 키는 커널 인증 키에 저장됩니다.
- Stratis 풀을 구성하는 블록 장치는 모두 암호화되거나 암호화되지 않아야 합니다. 동일한 Stratis 풀에서 암호화 및 암호화되지 않은 블록 장치를 둘 다 가질 수 없습니다.
- 암호화된 Stratis 풀의 데이터 계층에 추가된 블록 장치는 자동으로 암호화됩니다.
사전 요구 사항
- Stratis v2.1.0 이상이 설치됩니다. 자세한 내용은 Stratis 설치를 참조하십시오.
-
stratisd서비스가 실행 중입니다. - Stratis 풀을 생성하는 블록 장치는 사용되지 않으며 마운트되지 않습니다.
- Stratis 풀을 생성하는 블록 장치는 각각 1GB 이상입니다.
-
IBM Z 아키텍처에서
/dev/dasd*블록 장치를 파티셔닝해야 합니다. Stratis 풀의 파티션을 사용합니다.
DASD 장치 파티셔닝에 대한 자세한 내용은 link:IBM Z에서 Linux 인스턴스 구성을 참조하십시오.
절차
Stratis 풀에서 사용하려는 각 블록 장치에 존재하는 파일 시스템, 파티션 테이블 또는 RAID 서명을 지웁니다.
# wipefs --all block-device여기서
block-device는 블록 장치의 경로입니다(예:/dev/sdb).키 세트를 아직 생성하지 않은 경우 다음 명령을 실행하고 프롬프트에 따라 암호화에 사용할 키 세트를 만듭니다.
# stratis key set --capture-key key-description여기서
key-description은 커널 인증 키에서 생성되는 키에 대한 참조입니다.암호화된 Stratis 풀을 생성하고 암호화에 사용할 키 설명을 지정합니다.
key-description옵션을 사용하는 대신--keyfile-path옵션을 사용하여 키 경로를 지정할 수도 있습니다.# stratis pool create --key-desc key-description my-pool block-device
다음과 같습니다.
key-description- 이전 단계에서 생성한 커널 인증 키에 있는 키를 참조합니다.
my-pool- 새 Stratis 풀의 이름을 지정합니다.
block-device비어 있거나 지워진 블록 장치의 경로를 지정합니다.
참고한 줄에 여러 블록 장치를 지정합니다.
# stratis pool create --key-desc key-description my-pool block-device-1 block-device-2
새 Stratis 풀이 생성되었는지 확인합니다.
# stratis pool list
