第 4 章 镜像加密
作为存储管理员,您可以设置用于加密特定 RBD 镜像的 secret 密钥。镜像级别的加密由 RBD 客户端在内部处理。
注意
krbd 模块不支持镜像级别加密。
注意
您可以使用外部工具(如 dm-crypt 或 QEMU )来加密 RBD 镜像。
先决条件
- 一个正在运行的 Red Hat Ceph Storage 7 集群。
-
root级别权限。
4.1. 加密格式
默认情况下不加密 RBD 镜像。您可以格式化为其中一个支持的加密格式来加密 RBD 镜像。格式操作将加密元数据保留在 RBD 镜像。加密元数据包含加密格式和版本、密码算法和模式规格等信息,以及用于保护加密密钥的信息。
加密密钥受用户保存的密码保护,该密码不会作为持久数据存储在 RBD 镜像中。加密格式操作要求您指定加密格式、密码算法和模式规格以及密码短语。加密元数据存储在 RBD 镜像中,目前是作为在原始镜像开始时编写的加密标头。这意味着加密镜像的有效镜像大小会小于原始镜像大小。
注意
除非明确(重新)格式化加密镜像,否则加密镜像的克隆本质上使用相同的格式和 secret 加密。
注意
在格式化之前写入 RBD 镜像的任何数据都可能会变得不可读取,即使它可能仍然占用存储资源。启用日志功能的 RBD 镜像无法加密。
