9.13. Implantação de máquinas virtuais em uma rede NBDE

O comando clevis luks bind não altera a chave mestra LUKS. Isto implica que se você criar uma imagem encriptada LUKS para uso em uma máquina virtual ou ambiente de nuvem, todas as instâncias que executam esta imagem compartilharão uma chave mestra. Isto é extremamente inseguro e deve ser evitado em todos os momentos.

Isto não é uma limitação de Clevis, mas um princípio de projeto da LUKS. Se você deseja ter volumes raiz criptografados em uma nuvem, você precisa ter certeza de que você realiza o processo de instalação (geralmente usando Kickstart) para cada instância do Red Hat Enterprise Linux em uma nuvem também. As imagens não podem ser compartilhadas sem também compartilhar uma chave mestra LUKS.

Se você pretende implementar o desbloqueio automatizado em um ambiente virtualizado, a Red Hat recomenda fortemente que você use sistemas como lorax ou virt-install juntamente com um arquivo Kickstart (veja Configurando o registro automatizado de volumes criptografados LUKS usando Kickstart) ou outra ferramenta de provisionamento automatizado para garantir que cada VM criptografada tenha uma chave mestra única.