Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.3. 验证 Block Storage (cinder) 卷镜像

在从镜像创建过程中,块存储服务(cinder)会在卷期间自动验证任何下载的签名。在镜像写入卷前,签名会被验证。要提高性能,您可以使用 Block Storage Image-Volume 缓存存储验证的镜像以创建新卷。

注意

Red Hat Ceph Storage 或 RBD 卷不支持 Cinder 镜像签名验证。

流程

  1. 登录到 Controller 节点。

  2. 选择以下选项之一:

    • 日志 /var/log/containers/cinder/cinder-volume.log 中查看 cinder 的镜像验证活动。

      例如,您可以在实例引导时预期以下条目: 

      2018-05-24 12:48:35.256 1 INFO cinder.image.image_utils [req-7c271904-4975-4771-9d26-cbea6c0ade31 b464b2fd2a2140e9a88bbdacf67bdd8c a3db2f2beaee454182c95b646fa7331f - default default] Image signature verification succeeded for image d3396fa0-2ea2-4832-8a77-d36fa3f2ab27

    • 使用 openstack volume listcinder volume show 命令:

      1. 使用 openstack volume list 命令查找卷 ID。

      2. 在计算节点上运行 cinder volume show 命令: 

        cinder volume show <VOLUME_ID>

  3. 找到 volume_image_metadata 部分,其中包含 验证了 : True 的行。 

    $ cinder show d0db26bb-449d-4111-a59a-6fbb080bb483
+--------------------------------+-------------------------------------------------+
| Property                       | Value                                           |
+--------------------------------+-------------------------------------------------+
| attached_servers               | []                                              |
| attachment_ids                 | []                                              |
| availability_zone              | nova                                            |
| bootable                       | true                                            |
| consistencygroup_id            | None                                            |
| created_at                     | 2018-10-12T19:04:41.000000                      |
| description                    | None                                            |
| encrypted                      | True                                            |
| id                             | d0db26bb-449d-4111-a59a-6fbb080bb483            |
| metadata                       |                                                 |
| migration_status               | None                                            |
| multiattach                    | False                                           |
| name                           | None                                            |
| os-vol-host-attr:host          | centstack.localdomain@nfs#nfs                   |
| os-vol-mig-status-attr:migstat | None                                            |
| os-vol-mig-status-attr:name_id | None                                            |
| os-vol-tenant-attr:tenant_id   | 1a081dd2505547f5a8bb1a230f2295f4                |
| replication_status             | None                                            |
| size                           | 1                                               |
| snapshot_id                    | None                                            |
| source_volid                   | None                                            |
| status                         | available                                       |
| updated_at                     | 2018-10-12T19:05:13.000000                      |
| user_id                        | ad9fe430b3a6416f908c79e4de3bfa98                |
| volume_image_metadata          | checksum : f8ab98ff5e73ebab884d80c9dc9c7290     |
|                                | container_format : bare                         |
|                                | disk_format : qcow2                             |
|                                | image_id : 154d4d4b-12bf-41dc-b7c4-35e5a6a3482a |
|                                | image_name : cirros-0.3.5-x86_64-disk           |
|                                | min_disk : 0                                    |
|                                | min_ram : 0                                     |
|                                | signature_verified : False                      |
|                                | size : 13267968                                 |
| volume_type                    | nfs                                             |
+--------------------------------+-------------------------------------------------+
注意

快照保存为 Image 服务(glance)镜像。如果将 Compute 服务(nova)配置为检查已签名的镜像,则必须从 glance 中手动下载镜像,签署镜像,然后重新上传镜像。这满足了快照是否来自使用签名镜像创建的实例,还是从签名镜像创建的卷引导的实例。

注意

卷可以上传为镜像服务(glance)镜像。如果原始卷是可引导的,可以使用该镜像在块存储服务(cinder)中创建可引导卷。如果您已将块存储服务配置为检查已签名的镜像,则必须从 glance 中手动下载镜像,计算镜像签名,并在使用镜像前更新所有适当的镜像签名属性。更多信息请参阅 第 4.5 节 “验证快照”

4.3.1. 自动删除卷镜像加密密钥
复制链接

当块存储服务(barbican)将加密卷上传到镜像服务(glance)时,块存储服务(cinder)会在密钥管理服务(barbican)中创建一个加密密钥。这会在加密密钥和存储的镜像之间创建一个 1:1 的关系。

加密密钥删除可防止密钥管理服务无限度地消耗资源。块存储、密钥管理和镜像服务会自动管理加密密钥,包括删除密钥。

块存储服务会自动为卷镜像添加两个属性:

  • cinder_encryption_key_id - 加密密钥的标识符,用于特定镜像的密钥管理服务。
  • cinder_encryption_key_deletion_policy - 告知镜像服务指示密钥管理服务是否删除与此镜像关联的密钥。
重要

这些属性的值会自动分配。为避免意外数据丢失,请不要调整这些值

当您创建卷镜像时,块存储服务会将 cinder_encryption_key_deletion_policy 属性设置为 on_image_deletion。当您删除卷镜像时,如果 cinder_encryption_key_deletion_policy 等于 on_image_deletion,则镜像服务会删除对应的加密密钥。

重要

红帽不推荐手动操作 cinder_encryption_key_idcinder_encryption_key_deletion_policy 属性。如果您使用由 cinder_encryption_key_id 值标识的加密密钥用于任何其他目的,则可能会造成数据丢失。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部