第 4 章 Ceph 磁盘加密
关于 LUKS 磁盘加密及其好处
您可以使用 Linux Unified Key Setup-on-disk-format(LUKS)方法加密 Linux 系统上的分区。LUKS 对整个块设备进行加密,因此非常适合保护移动设备的内容,如可移动存储介质或笔记本电脑磁盘驱动器。
使用 ceph-ansible 实用程序创建加密的 OSD 节点,以保护其上存储的数据。详情请参阅《 红帽 Ceph 存储 4 安装指南》中的安装红帽 Ceph 存储集群 一节。
有关 LUKS 的详情,请参阅 Red Hat Enterprise Linux 7 安全指南中的 LUKS 概述 部分。
ceph-ansible 如何创建加密的分区
在 OSD 安装过程中,ceph-ansible 调用负责创建加密分区的 ceph-disk 工具。
ceph-disk 实用程序除了数据(ceph data)和日志(ceph journal)分区外,还会创建一个小的 ceph lockbox 分区。另外,ceph-disk 创建 cephx client.osd-lockbox 用户。ceph lockbox 分区包含一个密钥文件,client.osd-lockbox 使用它检索解密加密 ceph data 和 ceph journal 分区所需的 LUKS 私钥。
然后,ceph-disk 调用 cryptsetup 工具,它为 ceph data 和 ceph journal 分区创建两个 dm-crypt 设备。dm-crypt 设备使用 ceph data 和 ceph journal GUID 作为标识符。
Red Hat Ceph Storage 4 中已弃用 ceph-disk 命令。ceph-volume 命令现在是从命令行界面部署 OSD 的首选方法。目前,ceph-volume 命令只支持 lvm 插件。
有关使用 ceph-volume 命令的更多信息,请参阅红帽 Ceph 存储管理指南。
ceph-ansible 如何处理 LUKS 密钥
ceph-ansible 实用程序将 LUKS 私钥存储在 Ceph Monitor 键-值存储中。每个 OSD 都有自己的密钥来解密包含 OSD 数据和日志的 dm-crypt 设备。加密的分区在引导时自动解密。
