20.3. 加密 Cinder 卷数据


强烈建议使用 OpenStack 卷加密功能。在 Volume Encryption 下的 Data Encryption 部分中将对此进行讨论。使用此功能时,通过安全地删除加密密钥来实现数据破坏。最终用户可以在创建卷时选择此功能,但请注意,管理员必须首先执行一次性设置卷加密功能。

如果没有使用 OpenStack 卷加密功能,则其他方法通常更难以启用。如果使用后端插件,则可能独立进行加密或非标准覆盖解决方案。OpenStack 块存储的插件以各种方式存储数据。许多插件都特定于某个供应商或技术,而其他插件则特定于文件系统的 DIY 解决方案(如 LVM 或 ZFS)。安全销毁数据的方法因插件、供应商和文件系统而异。

有些后端(如 ZFS)支持写时复制,以防止数据暴露。在这些情况下,从未写入块读取始终为零。其他后端(如 LVM)可能无法原生支持,因此 cinder 插件在向用户移交之前覆盖之前写入的块。务必要检查您选择的卷后端提供什么保证,以及查看未提供这些保证的补救可能可用。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.