Format de chiffrement
Les images Ceph Block Device ne sont pas chiffrées par défaut. Vous pouvez chiffrer une image RBD en la formatant dans l'un des formats de chiffrement pris en charge. L'opération de formatage conserve les métadonnées de chiffrement dans l'image RBD. Les métadonnées de chiffrement incluent des informations telles que le format et la version de chiffrement, l'algorithme de chiffrement et les spécifications de mode, ainsi que les informations utilisées pour sécuriser la clé de chiffrement.
La clé de chiffrement est protégée par un secret conservé par l'utilisateur qui est une phrase passe, qui n'est jamais stockée en tant que données persistantes dans l'image RBD. L'opération de format de chiffrement nécessite que vous spécifiiez le format de chiffrement, l'algorithme de chiffrement et la spécification de mode, ainsi qu'une phrase passe. Les métadonnées de chiffrement sont stockées dans l'image RBD, actuellement sous la forme d'un en-tête de chiffrement qui est écrit au début de l'image brute. Cela signifie que la taille d'image effective de l'image chiffrée serait inférieure à la taille d'image brute.
- Actuellement, vous ne pouvez chiffrer que des images Ceph Block Device à plat. Les clones d'une image RBD chiffrée sont intrinsèquement chiffrés à l'aide du même profil de chiffrement et de la même phrase passe.
- Toutes les données écrites dans l'image RBD avant le formatage peuvent devenir illisibles, même si elles peuvent encore occuper des ressources de stockage. Les images Ceph Block Device avec la fonction de journal activée ne peuvent pas être chiffrées.