4.12. 加密未加密的卷
您可以加密未加密的卷。
如果 cinder-backup 服务可用,请备份未加密的卷,然后将其恢复到新的加密卷。
如果 cinder-backup 服务不可用,则从未加密的卷创建一个 glance 镜像,并从此镜像创建新的加密卷。
先决条件
- 您必须是项目管理员才能创建加密卷。
- 要加密的未加密的卷。
流程
cinder-backup 服务可用:
提供 overcloud 凭证文件:
$ source ~/<credentials_file>
-
将
<credentials_file> 替换为您的凭据文件的名称,如overcloudrc。
-
将
备份当前的未加密的卷:
cinder backup-create <unencrypted_volume>
-
将
<unencrypted_volume> 替换为未加密的卷的名称或 ID。
-
将
创建新加密卷:
cinder create <encrypted_volume_size> --volume-type <encrypted_volume_type>
-
将
<encrypted_volume_size> 替换为新卷的大小(以 GB 为单位)。这个值必须于未加密卷的大 1 GB,以便容纳加密元数据。 -
将
<encrypted_volume_type> 替换为您需要的加密类型。
-
将
将未加密的卷的备份恢复到新的加密卷:
cinder backup-restore <backup> --volume <encrypted_volume>
-
将
<backup> 替换为未加密的卷备份的名称或 ID。 -
将
<encrypted_volume> 替换为新加密卷的 ID。
-
将
cinder-backup 服务不可用:
提供 overcloud 凭证文件:
$ source ~/<credentials_file>
-
将
<credentials_file> 替换为您的凭据文件的名称,如overcloudrc。
-
将
创建未加密的卷的 glance 镜像:
cinder upload-to-image <unencrypted_volume> <new_image>
-
将
<unencrypted_volume> 替换为未加密的卷的名称或 ID。 -
将
<new_image> 替换为新镜像的名称。
-
将
从比镜像大 1 GB 的镜像创建一个新卷:
cinder volume create --size <size> --volume-type luks --image <new_image> <encrypted_volume_name>
-
将
<size> 替换为新卷的大小。这个值必须比旧的未加密的卷大 1GB。 -
将
<new_image> 替换为您从未加密的卷创建的镜像的名称。 -
将
<encrypted_volume_name> 替换为新加密卷的名称。
-
将
