Red Hat Summit4.2. Block Storage(cinder) 볼륨 암호화
barbican을 사용하여 Block Storage(cinder) 암호화 키를 관리할 수 있습니다. 이 구성은 LUKS를 사용하여 부팅 디스크를 포함하여 인스턴스에 연결된 디스크를 암호화합니다. 키 관리는 사용자에게 투명합니다. luks 를 암호화 유형으로 사용하여 새 볼륨을 생성할 때 cinder는 볼륨에 대한 대칭 키 시크릿을 생성하여 barbican에 저장합니다. 인스턴스를 부팅하거나 암호화된 볼륨을 연결할 때 nova는 barbican에서 키를 검색하고 로컬로 컴퓨팅 노드에 Libvirt 시크릿으로 시크릿을 저장합니다.
절차
cinder-volume및nova-compute서비스를 실행하는 노드에서 nova 및 cinder가 모두 키 관리에 barbican을 사용하도록 구성되어 있는지 확인합니다.$ crudini --get /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf key_manager backend castellan.key_manager.barbican_key_manager.BarbicanKeyManager $ crudini --get /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf key_manager backend castellan.key_manager.barbican_key_manager.BarbicanKeyManager암호화를 사용하는 볼륨 템플릿을 생성합니다. 새 볼륨을 생성할 때 여기에 정의된 설정을 모델링할 수 있습니다.
$ openstack volume type create --encryption-provider nova.volume.encryptors.luks.LuksEncryptor --encryption-cipher aes-xts-plain64 --encryption-key-size 256 --encryption-control-location front-end LuksEncryptor-Template-256 +-------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Field | Value | +-------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | description | None | | encryption | cipher='aes-xts-plain64', control_location='front-end', encryption_id='9df604d0-8584-4ce8-b450-e13e6316c4d3', key_size='256', provider='nova.volume.encryptors.luks.LuksEncryptor' | | id | 78898a82-8f4c-44b2-a460-40a5da9e4d59 | | is_public | True | | name | LuksEncryptor-Template-256 | +-------------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+새 볼륨을 생성하고
LuksEncryptor-Template-256설정을 사용하도록 지정합니다.$ openstack volume create --size 1 --type LuksEncryptor-Template-256 'Encrypted-Test-Volume' +---------------------+--------------------------------------+ | Field | Value | +---------------------+--------------------------------------+ | attachments | [] | | availability_zone | nova | | bootable | false | | consistencygroup_id | None | | created_at | 2018-01-22T00:19:06.000000 | | description | None | | encrypted | True | | id | a361fd0b-882a-46cc-a669-c633630b5c93 | | migration_status | None | | multiattach | False | | name | Encrypted-Test-Volume | | properties | | | replication_status | None | | size | 1 | | snapshot_id | None | | source_volid | None | | status | creating | | type | LuksEncryptor-Template-256 | | updated_at | None | | user_id | 0e73cb3111614365a144e7f8f1a972af | +---------------------+--------------------------------------+생성된 시크릿은 barbican 백엔드에 자동으로 업로드됩니다.
참고암호화된 볼륨을 생성하는 사용자가 프로젝트에 대한
작성자barbican 역할이 있는지 확인합니다. 자세한 내용은creator 역할에 대한 사용자 액세스 권한 부여섹션을 참조하십시오.barbican을 사용하여 디스크 암호화 키가 있는지 확인합니다. 이 예에서 타임스탬프는 LUKS 볼륨 생성 시간과 일치합니다.
$ openstack secret list +------------------------------------------------------------------------------------+------+---------------------------+--------+-------------------------------------------+-----------+------------+-------------+------+------------+ | Secret href | Name | Created | Status | Content types | Algorithm | Bit length | Secret type | Mode | Expiration | +------------------------------------------------------------------------------------+------+---------------------------+--------+-------------------------------------------+-----------+------------+-------------+------+------------+ | https://192.168.123.169:9311/v1/secrets/24845e6d-64a5-4071-ba99-0fdd1046172e | None | 2018-01-22T02:23:15+00:00 | ACTIVE | {u'default': u'application/octet-stream'} | aes | 256 | symmetric | None | None | +------------------------------------------------------------------------------------+------+---------------------------+--------+-------------------------------------------+-----------+------------+-------------+------+------------+새 볼륨을 기존 인스턴스에 연결합니다. 예를 들면 다음과 같습니다.
$ openstack server add volume testInstance Encrypted-Test-Volume그러면 볼륨이 게스트 운영 체제에 표시되고 기본 제공 툴을 사용하여 마운트할 수 있습니다.
4.2.1. 블록 스토리지 볼륨을 OpenStack Key Manager로 마이그레이션
이전에 ConfKeyManager 를 사용하여 디스크 암호화 키를 관리한 경우 barbican으로 마이그레이션하기 위해 scope 내의 encryption_key_id 항목에 대한 데이터베이스를 스캔하여 볼륨을 OpenStack Key Manager로 마이그레이션할 수 있습니다. 각 항목은 새 barbican 키 ID를 가져오고 기존 ConfKeyManager 시크릿은 유지됩니다.
-
이전에는
ConfKeyManager를 사용하여 암호화된 볼륨에 대한 소유권을 다시 할당할 수 있었습니다. barbican에서 관리하는 키가 있는 볼륨에는 이 작업을 수행할 수 없습니다. -
barbican을 활성화하면 기존
키mgr볼륨이 손상되지 않습니다.
사전 요구 사항
마이그레이션하기 전에 Barbican에서 관리하는 암호화된 볼륨과 ConfKeyManager 를 사용하는 볼륨 간의 다음 차이점을 검토하십시오.
- 현재 barbican 시크릿의 소유권을 이전할 수 없기 때문에 암호화된 볼륨의 소유권을 이전할 수 없습니다.
- Barbican은 보안을 읽고 삭제할 수 있는 사람을 제한적으로 일부 cinder 볼륨 작업에 영향을 줄 수 있습니다. 예를 들어 사용자는 다른 사용자의 볼륨을 연결, 분리 또는 삭제할 수 없습니다.
절차
- barbican 서비스를 배포합니다.
cinder 서비스에
creator역할을 추가합니다. 예를 들면 다음과 같습니다.#openstack role create creator #openstack role add --user cinder creator --project servicecinder-volume및cinder-backup서비스를 다시 시작합니다.cinder-volume및cinder-backup서비스는 마이그레이션 프로세스를 자동으로 시작합니다. 로그 파일을 확인하여 마이그레이션에 대한 상태 정보를 볼 수 있습니다.-
cinder-volume- cinder의 볼륨 및 스냅샷 테이블에 저장된 키를 마이그레이션합니다. -
Cinder-backup- Backups 테이블의 키를 마이그레이션합니다.
-
-
마이그레이션이 완료되었음을 나타내는 메시지의 로그를 모니터링하고
ConfKeyManagerall-zeros 암호화 키 ID를 사용하여 더 이상 볼륨이 없는지 확인합니다. -
cinder.conf및nova.conf에서fixed_key옵션을 제거합니다. 이 설정이 구성된 노드를 결정해야 합니다. -
cinder 서비스에서
작성자역할을 제거합니다.
검증
프로세스를 시작하면 이러한 항목 중 하나가 로그 파일에 표시됩니다. 이는 마이그레이션이 올바르게 시작되었는지 여부를 나타냅니다. 그렇지 않으면 마이그레이션이 발생한 문제를 식별합니다.
-
ConfKeyManager가 여전히 사용 중이므로 암호화 키를 마이그레이션하지 않습니다. -
ConfKeyManager의 fixed_key가 사용되지 않기 때문에 암호화 키를 마이그레이션하지 않습니다. -
'XXX' key_manager 백엔드로 마이그레이션하기 때문에 암호화 키를 마이그레이션하지 않습니다.- 이 메시지는 나타나지 않을 수 있습니다. 이는 barbican 이외의 다른 Key Manager 백엔드가 발생하는 코드를 처리하는 안전 검사입니다. 이는 코드에서 하나의 마이그레이션 시나리오만 지원하기 때문입니다. ConfKeyManager 에서 barbican 까지의 마이그레이션 시나리오만 지원되기 때문입니다. -
이 호스트와 연결된 볼륨이 없기 때문에 암호화 키를 마이그레이션하지 않습니다.-cinder-volume이 여러 호스트에서 실행되고 특정 호스트에 연결된 볼륨이 없을 때 발생할 수 있습니다. 이는 모든 호스트가 자체 볼륨을 처리할 책임이 있기 때문에 발생합니다. -
ConfKeyManager 키의 마이그레이션 시작 볼륨 <UUID> 암호화 키를 Barbican로 마이그레이션하면 마이그레이션 중에 호스트의 모든 볼륨을 검사하고 볼륨이 계속 ConfKeyManager의 키 ID를 사용하는 경우(모든 0 0000)) 이 메시지가 나타납니다.-0000-0000-00000000-
cinder-backup의 경우 이 메시지는 약간 다른 대문자를 사용합니다:볼륨마이그레이션[또는 백업 마이그레이션]
-
-
각 호스트가 모든 볼륨을 검사하면 호스트에 요약 상태 메시지가 표시됩니다.
`No volumes are using the ConfKeyManager's encryption_key_id.` `No backups are known to be using the ConfKeyManager's encryption_key_id.`다음 항목도 볼 수 있습니다.
-
ConfKeyManager의 all-zeros 암호화 키 ID를 사용하는 여전히 %d 볼륨이 있습니다. ConfKeyManager의 all-zeros 암호화 키 ID를 사용하는 여전히 %d 백업이 있습니다.이러한 메시지는
cinder-volume및cinder-backup로그에 표시될 수 있습니다. 각 서비스는 자체 항목 마이그레이션만 처리하지만 서비스는 다른 서비스의 상태를 알고 있습니다. 결과적으로cinder-backup에 마이그레이션할 백업이 있는지 여부를cinder-volume에서 알고 있으며cinder-backup에는cinder-volume서비스에 마이그레이션할 볼륨이 있는지 확인합니다.
-
각 호스트는 자체 볼륨만 마이그레이션하지만 요약 메시지는 마이그레이션이 여전히 필요한지 여부에 대한 글로벌 평가를 기반으로 하므로 모든 볼륨의 마이그레이션이 완료되었는지 확인할 수 있습니다.
cleanup
키 ID를 barbican로 마이그레이션한 후 고정 키는 구성 파일에 남아 있습니다. fixed_key 값은 .conf 파일에서 암호화되지 않기 때문에 일부 사용자에게 보안 문제가 표시될 수 있습니다.
이 문제를 해결하려면 nova 및 cinder 구성에서 fixed_key 값을 수동으로 제거할 수 있습니다. 그러나 이 값을 계속 사용하는 디스크에 액세스할 수 없기 때문에 계속하기 전에 먼저 테스트한 후 로그 파일의 출력을 검토합니다.
encryption_key_id 는 최근에 Backup 테이블에만 추가되었습니다. 결과적으로 암호화된 볼륨의 기존 백업이 존재할 수 있습니다. all-zeros encryption_key_id 는 백업 자체에 저장되지만 Backup 데이터베이스에는 표시되지 않습니다. 따라서 마이그레이션 프로세스에서 여전히 all-zeros ConfKeyMgr 키 ID에 의존하는 암호화된 볼륨의 백업이 존재하는지 여부를 확인하는 것은 불가능합니다.
기존
fixed_key값을 검토합니다. 두 서비스 모두에 대해 값이 일치해야 합니다.crudini --get /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf keymgr fixed_key crudini --get /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf keymgr fixed_key중요기존
fixed_key값의 백업을 만듭니다. 이렇게 하면 문제가 발생하거나 이전 암호화 키를 사용하는 백업을 복원해야 하는 경우 값을 복원할 수 있습니다.fixed_key값을 삭제합니다.crudini --del /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf keymgr fixed_key crudini --del /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf keymgr fixed_key
문제 해결
barbican 시크릿은 요청자에게 작성자 역할이 있는 경우에만 생성할 수 있습니다. 즉 cinder 서비스 자체에는 작성자 역할이 필요하며, 그렇지 않으면 다음과 유사한 로그 시퀀스가 발생합니다.
-
ConfKeyManager 키의 마이그레이션 시작 -
볼륨 <UUID> 암호화 키를 Barbican으로 마이그레이션 -
암호화 키를 마이그레이션하는 동안 오류 발생: 금지: 시크릿 생성 시도가 허용되지 않음 - 사용자/프로젝트 권한을 검토하십시오. -
ConfKeyManager의 all-zeros 암호화 키 ID를 사용하는 여전히 %d 볼륨이 있습니다.
핵심 메시지는 세 번째 메시지입니다: 시크릿 생성 시도는 허용되지 않습니다. 문제를 해결하려면 cinder 계정의 권한을 업데이트합니다.
-
openstack role add --project service --user cinder creator를 실행합니다. -
cinder-volume및cinder-backup서비스를 다시 시작합니다.
결과적으로 마이그레이션 시 다음 시도에 성공해야 합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}