20.3. 加密 Cinder 卷数据
强烈建议使用 OpenStack 卷加密功能。在 Volume Encryption 下的 Data Encryption 部分中将对此进行讨论。使用此功能时,通过安全地删除加密密钥来实现数据破坏。最终用户可以在创建卷时选择此功能,但请注意,管理员必须首先执行一次性设置卷加密功能。
如果没有使用 OpenStack 卷加密功能,则其他方法通常更难以启用。如果使用后端插件,则可能独立进行加密或非标准覆盖解决方案。OpenStack 块存储的插件以各种方式存储数据。许多插件都特定于某个供应商或技术,而其他插件则特定于文件系统的 DIY 解决方案(如 LVM 或 ZFS)。安全销毁数据的方法因插件、供应商和文件系统而异。
有些后端(如 ZFS)支持写时复制,以防止数据暴露。在这些情况下,从未写入块读取始终为零。其他后端(如 LVM)可能无法原生支持,因此 cinder 插件在向用户移交之前覆盖之前写入的块。务必要检查您选择的卷后端提供什么保证,以及查看未提供这些保证的补救可能可用。