静态加密
IBM Storage Ceph 支持 Ceph 存储集群以及 在各种情况下的静态加密。 Ceph Object Gateway
Ceph 存储集群: Ceph 存储集群支持对 Ceph OSD 及其相应日志,预写日志和元数据数据库进行 Linux 统一密钥设置或 LUKS 加密。 在此场景中, Ceph 将加密所有静态数据,而不考虑客户机是 Ceph Block Device, Ceph Filesystem 还是基于
librados构建的定制应用程序。Ceph Object Gateway: Ceph 存储器集群支持对客户机对象进行加密。 此外,传输的数据在 Ceph Object Gateway 与 Ceph 存储集群之间采用加密形式。
- Ceph 存储集群加密
Ceph 存储集群支持对 Ceph OSD 中存储的数据进行加密。 IBM Storage Ceph 可以通过指定
dmcrypt来加密lvm的逻辑卷;也就是说,由ceph-volume调用的lvm会加密 OSD 的逻辑卷,而不是其物理卷。 它可以使用相同的 OSD 密钥对非 LVM 设备 (例如分区) 进行加密。 加密逻辑卷可提高配置灵活性。Ceph 使用 LUKS v1 而不是 LUKS v2,因为 LUKS v1 在 Linux 分发版中具有最广泛的支持。
创建 OSD 时,
lvm将生成密钥,并通过stdin将该密钥安全地传递到 JSON 有效内容中的 Ceph Monitor。 加密密钥的属性名称为dmcrypt_key。要点: 系统管理员必须显式启用加密。缺省情况下, Ceph 不会对存储在 Ceph OSD 中的数据进行加密。 系统管理员必须启用
dmcrypt以加密 Ceph OSD 中存储的数据。 使用 Ceph Orchestrator 服务规范文件将 Ceph OSD 添加到存储集群时,请在该文件中设置以下选项以加密 Ceph OSD:示例
... encrypted: true ...注: LUKS 和dmcrypt仅对静态数据进行地址加密,而不对传输中的数据进行加密。
- Ceph Object Gateway 加密
Ceph Object Gateway支持使用其S3API 通过客户提供的密钥进行加密。 在使用客户提供的密钥时,S3客户端在每次请求读取或写入加密数据时都会传递一个加密密钥。 客户负责管理这些密钥。 客户必须记住Ceph Object Gateway用于加密每个对象的密钥。 有关Ceph Object Gateway加密的完整信息,请参阅服务器端加密。
参考
有关更多信息,请参阅以下内容: