9.9. 使用 storage RHEL 系统角色创建 LUKS2 加密的卷

您可以使用 存储 角色来通过运行 Ansible playbook 创建和配置使用 LUKS 加密的卷。

先决条件

您已准备好控制节点和受管节点
以可在受管主机上运行 playbook 的用户登录到控制节点。
用于连接到受管节点的帐户具有 sudo 权限。

流程

将您的敏感变量存储在一个加密文件中：
1. 创建 vault ：
```
$ ansible-vault create vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>
```
2. 在 ansible-vault create 命令打开编辑器后，以 <key>: <value> 格式输入敏感数据：
```
luks_password: <password>
```
3. 保存更改，并关闭编辑器。Ansible 加密 vault 中的数据。

创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

---
- name: Manage local storage
  hosts: managed-node-01.example.com
  vars_files:
    - vault.yml
  tasks:
    - name: Create and configure a volume encrypted with LUKS
      ansible.builtin.include_role:
        name: rhel-system-roles.storage
      vars:
        storage_volumes:
          - name: barefs
            type: disk
            disks:
              - sdb
            fs_type: xfs
            fs_label: <label>
            mount_point: /mnt/data
            encryption: true
            encryption_password: "{{ luks_password }}"

有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.storage/README.md 文件。

验证 playbook 语法：
```
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
```
请注意，这个命令只验证语法，不会防止错误但有效的配置。

运行 playbook：

$ ansible-playbook --ask-vault-pass ~/playbook.yml

验证

查找 LUKS 加密卷的 luksUUID 值：

# ansible managed-node-01.example.com -m command -a 'cryptsetup luksUUID /dev/sdb'

4e4e7970-1822-470e-b55a-e91efe5d0f5c

查看卷的加密状态：

# ansible managed-node-01.example.com -m command -a 'cryptsetup status luks-4e4e7970-1822-470e-b55a-e91efe5d0f5c'

/dev/mapper/luks-4e4e7970-1822-470e-b55a-e91efe5d0f5c is active and is in use.
  type:    LUKS2
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device:  /dev/sdb
...

验证创建的 LUKS 加密的卷：

# ansible managed-node-01.example.com -m command -a 'cryptsetup luksDump /dev/sdb'

LUKS header information
Version:        2
Epoch:          3
Metadata area:  16384 [bytes]
Keyslots area:  16744448 [bytes]
UUID:           4e4e7970-1822-470e-b55a-e91efe5d0f5c
Label:          (no label)
Subsystem:      (no subsystem)
Flags:          (no flags)

Data segments:
  0: crypt
        offset: 16777216 [bytes]
        length: (whole device)
        cipher: aes-xts-plain64
        sector: 512 [bytes]
...

其它资源

/usr/share/ansible/roles/rhel-system-roles.storage/README.md 文件
/usr/share/doc/rhel-system-roles/storage/ 目录
使用 LUKS 加密块设备
Ansible vault

9.9. 使用 storage RHEL 系统角色创建 LUKS2 加密的卷

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links