已加密的逻辑卷
为保护业务和个人数据,从具有技术级别 5 的 IBM® AIX® 7.2 开始,逻辑卷管理器 (LVM) 支持逻辑卷 (LV) 级别的数据加密。 通过使用此功能,可以对静态数据进行加密,以保护因丢失或被盗硬盘驱动器或不当停用的计算机而暴露的数据。 静态数据是指以任何数字形式物理存储的不活动数据。
每个 LV 都使用唯一密钥进行加密。 在将数据写入物理卷之前,将对逻辑卷数据进行加密。 从物理卷读取此数据时,将对其进行解密。 缺省情况下,未在逻辑卷中启用数据加密。 必须先在卷组级别启用数据加密选项,然后才能在逻辑卷级别启用数据加密选项。
LV 加密为每个逻辑卷创建一个数据加密密钥。 通过在其他数据存储设备中单独存储密钥来保护数据加密密钥。 支持以下类型的密钥保护方法:
- 释义
- 密钥文件
- 密钥服务器
- 平台密钥库 (PKS) (在 IBM Power ® System FW950的 IBM PowerVM® 固件中提供)
以下部分详细描述了 LV 加密功能:
LV 加密的优点
加密文件系统 (EFS) 在文件系统级别提供数据加密。 EFS 在文件级别管理数据加密密钥,并保护每个用户的数据加密密钥。 如果要避免精细控制文件系统加密和选择性文件加密的复杂性,可以选择具有以下优点的数据的逻辑卷加密:
- 数据所有者控制加密密钥。
- 通过网络 (光纤通道或以太网) 传输的数据已加密并受保护。 这些特征对于云环境中托管的虚拟服务器很重要。
有关 LV 加密体系结构的更多信息,请参阅博客: AIX 72 TL5: 逻辑卷加密
- LV 加密增强功能
- 从 AIX 7.3开始,向 LV 加密功能添加了以下增强功能:
- 您可以对引导过程中使用的根卷组 (rootvg) 中的 LVs 进行加密。 在安装基本操作系统期间,必须选择 LV 加密选项。 有关更多信息,请参阅 BOS 安装选项。
- 安装基本操作系统后,可以使用 hdcryptmgr 转换命令来更改 LV 的加密设置。 但是, rootvg 中 LV 的转换与用户卷组中 LV 的转换不同。 运行 hdcryptmgr 转换命令以更改 rootvg 中 LV 的加密状态时, hdcryptmgr 命令会创建 LV 以存储转换恢复数据。 运行 hdcryptmgr 转换命令以更改用户卷组中 LV 的加密状态时, hdcryptmgr 命令会将转换恢复数据存储在 /var/hdcrypt 目录中的文件中。 因此, rootvg 必须至少有一个可用逻辑分区才能成功转换。 当加密的转换状态成功时,将删除包含转换恢复数据的 LV。
- 当 rootvg 联机时,网络不可用。 因此,平台密钥库 (PKS) 认证方法必须可用于引导过程中使用的 LV。 如果 PKS 认证方法对于 rootvg 中的加密 LV 不可用,那么 LV 将保持锁定状态,因此在以后显式解锁之前不可访问。 此外,不能从引导过程中使用的 rootvg 中的 LV 中删除有效的 PKS 认证方法。 如果将引导过程中使用的未加密 LV 转换为加密 LV ,那么 PKS 认证方法将自动添加到 LV 中。 如果 PKS 认证方法不可用或者对于引导过程中使用的加密 LV 已损坏,那么必须以维护方式引导操作系统并修复 PKS 认证方法,然后才能恢复正常引导操作。
- 增强了以下命令以支持 LV 加密: cplv, splitvg, splitlvcopy, chlvcopy, snapshot, savevg, 和 restvg。
- 您可以以并发方式对 LV 进行加密。 如果在处于并发方式的节点中更改 LV 的加密状态,那么在加密转换完成之前,无法访问其他节点。
- AIX 7.3 TL1 支持 Hyper Protect Crypto Services (HPCS) for AIX 逻辑卷加密。 要将 HPCS 与 AIX配合使用,必须供应 Power Systems Virtual Server。 keysvrmgr 命令提供用于管理集成的选项。
LV 加密命令
您可以使用以下命令来管理加密密钥和密钥服务器信息:
- hdcryptmgr 命令
- hdcryptmgr 实用程序管理已加密的 LVs ,这些 LVs 包括显示逻辑卷和卷加密信息,控制认证以及许多其他功能之类的任务。 该实用程序及其帮助消息以分层且不言自明的方式构建。 以下片段显示了命令使用情况的摘要。 有关详细的手动页面,请参阅 hdcryptmgr 命令。
# hdcryptmgr -h Usage: hdcryptmgr <action> <..options..> Display : showlv : Displays LV encryption status showvg : Displays VG encryption capability showpv : Displays PV encryption capability showmd : Displays encryption metadata related to device showconv : Displays status of all active and stopped conversions Authentication control : authinit : Initializes master key for data encryption authunlock : Authenticates to unlock master key of the device authadd : Adds additional authentication methods authcheck : Checks validity of an authentication method authdelete : Removes an authentication method authsetrvgpwd : Adds "initpwd" passphrase method to all rootvg's LVs PKS management : pksimport : Import the PKS keys pksexport : Export the PKS keys pksclean : Removes a PKS key pksshow : Displays PKS keys status Conversion : plain2crypt : Converts a LV to encrypted crypt2plain : Converts a LV to not encrypted PV encryption management : pvenable : Enables the Physical Volume Encryption pvdisable : Disables the Physical Volume Encryption pvsavemd : Save encrypted physical volume metadata to a file pvrecovmd : Recover encrypted physical volume metadata from a file - keysvrmgr 命令
- 对于密钥服务器方法,可以使用 keysvrmgr 实用程序来管理与密钥服务器信息 (例如,密钥服务器主机名或 IP 地址,连接端口和证书位置) 相关联的对象数据管理器 (ODM) 条目。 以下片段显示了命令使用情况的摘要。 有关详细的手动页面,请参阅 keysvrmgr 命令。
# keysvrmgr -h Usage: keysvrmgr <action> [-h] -t <server_type> <options> server_name Manage ODM data for key server and HPCS. <action> is one of the following: add : Add a new key server or HPCS to ODM. modify : Modify a key server or HPCS ODM record. remove : Remove a keyserver or HPCS ODM record. show : Display key server or HPCS ODM records. verify : Verify a HPCS ODM record (HPCS only). rekey : Generate a new API key for a HPCS ODM record (HPCS only). <server_type> is one of the following: keyserv : For (KMIP compliant) key management server. hpcs : For IBM Cloud Hyper Protect Crypto Services. For more details on <options> run : keysvrmgr <action> -h
使用 LV 加密的先决条件
- 使用 AIX 7.2.5 或更高版本来加密逻辑卷。
- 必须安装以下文件集才能加密LV数据。 这些文件集包含在基本操作系统中。
- bos.hdcrypt
- bos.kmip_client
- bos.rte.lvm
- security.acf
- openssl.base
- oss.lib.libcurl
- oss.lib.libjson-c
注意:- 当您运行 smit update_all 命令或进行操作系统迁移操作时, bos.hdcrypt 和 bos.kmip_client 文件集不会自动安装。 必须将其与软件源 (例如 DVD 或 ISO 映像) 分开安装。
- security.acf 文件集是某些文件集的依赖项。 以前的 security.acf 文件集版本附带 security.acf.pre_d 脚本,当您执行卸载过程或预览卸载过程时,该脚本会运行。 在卸载预览期间, security.acf.pre_d 脚本会停止 ssh 守护进程。 如果系统上存在 /usr/lpp/security.acf/deinstl/security.acf.pre_d 脚本,建议在执行卸载预览前手动将其从系统中删除。
创建和认证加密逻辑卷
要创建加密逻辑卷,请完成以下过程:
- 创建启用加密的卷组。
- 创建启用加密的逻辑卷。
- 认证逻辑卷的主加密密钥。
- 创建启用加密的卷组
- 要创建启用加密的卷组,请完成以下步骤:
- 通过运行以下命令,创建在其中启用数据加密选项的卷组:
其中 testvg 是新卷组的名称, hdisk2 是用于卷组的物理卷。mkvg -f -y testvg -k y hdisk2 - 通过运行以下命令来检查新卷组的详细信息:
# lsvg testvg VOLUME GROUP: testvg VG IDENTIFIER: 00fb294400004c0000000176437c6663 VG STATE: active PP SIZE: 8 megabyte(s) VG PERMISSION: read/write TOTAL PPs: 637 (5096 megabytes) MAX LVs: 256 FREE PPs: 637 (5096 megabytes) LVs: 0 USED PPs: 0 (0 megabytes) OPEN LVs: 0 QUORUM: 2 (Enabled) TOTAL PVs: 1 VG DESCRIPTORS: 2 STALE PVs: 0 STALE PPs: 0 ACTIVE PVs: 1 AUTO ON: yes MAX PPs per VG: 32512 MAX PPs per PV: 1016 MAX PVs: 32 LTG size (Dynamic): 512 kilobyte(s) AUTO SYNC: no HOT SPARE: no BB POLICY: relocatable PV RESTRICTION: none INFINITE RETRY: no DISK BLOCK SIZE: 512 CRITICAL VG: no FS SYNC OPTION: no CRITICAL PVs: no ENCRYPTION: yes - 通过运行以下命令,检查联机卷组的加密状态:
# hdcryptmgr showvg VG NAME / ID ENCRYPTION ENABLED testvg yes rootvg no - 通过运行以下命令来检查卷组加密元数据:
# hdcryptmgr showmd testvg ..... ..... Mon Dec 7 21:19:00 2020 ..... Device type : VG ..... Device name : testvg ..... =============== B: VG HEADER ================ Version : 0 Timestamp : Mon Dec 7 21:16:04 2020 Default data crypto algorithm: AES_XTS Default MasterKey size : 16 bytes Auto-auth (during varyonvg) : Enabled =============== E: VG HEADER ================ =============== B: VG TRAILER =============== Timestamp : Mon Dec 7 21:16:04 2020 =============== E: VG TRAILER ===============
- 通过运行以下命令,创建在其中启用数据加密选项的卷组:
- 创建启用加密的逻辑卷
- 要创建启用加密的逻辑卷,请完成以下步骤:
- 通过运行以下命令,创建在其中启用数据加密选项的逻辑卷:
# mklv -k y -y testlv testvg 10 testlv mklv: Please run : hdcryptmgr authinit lvname [..] to define LV encryption options. - 通过运行以下命令来检查新卷组的详细信息:
# lslv testlv LOGICAL VOLUME: testlv VOLUME GROUP: testvg LV IDENTIFIER: 00fb294400004c0000000176437c6663.1 PERMISSION: read/write VG STATE: active/complete LV STATE: closed/syncd TYPE: jfs WRITE VERIFY: off MAX LPs: 512 PP SIZE: 8 megabyte(s) COPIES: 1 SCHED POLICY: parallel LPs: 10 PPs: 10 STALE PPs: 0 BB POLICY: relocatable INTER-POLICY: minimum RELOCATABLE: yes INTRA-POLICY: middle UPPER BOUND: 32 MOUNT POINT: N/A LABEL: None MIRROR WRITE CONSISTENCY: on/ACTIVE EACH LP COPY ON A SEPARATE PV ?: yes Serialize IO ?: NO INFINITE RETRY: no PREFERRED READ: 0 ENCRYPTION: yes - 通过运行以下命令来检查逻辑卷的认证状态:
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes no 100 done
- 通过运行以下命令,创建在其中启用数据加密选项的逻辑卷:
- 认证逻辑卷的主加密密钥
- 要认证逻辑卷的主加密密钥,请完成以下步骤:
- 通过运行以下命令来初始化加密逻辑卷的主密钥。 在初始化第一个口令方法之前,逻辑卷不可访问。
# hdcryptmgr authinit testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "initpwd" added successfully. - 通过运行以下命令,检查逻辑卷的认证状态和认证方法:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd - 通过运行以下命令使卷组脱机并联机:
# varyoffvg testvg # varyonvg testvg - 通过运行以下命令来检查逻辑卷的认证状态:
输出显示未认证逻辑卷 testlv 。# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes no 100 done - 通过运行以下命令解锁逻辑卷的认证:
# hdcryptmgr authunlock testlv Enter Passphrase: Passphrase authentication succeeded. - 通过运行以下命令来检查逻辑卷的认证状态:
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done
- 通过运行以下命令来初始化加密逻辑卷的主密钥。 在初始化第一个口令方法之前,逻辑卷不可访问。
添加平台密钥库 (PKS) 认证方法
要添加平台密钥库 (PKS) 认证方法,请完成以下步骤:
- 通过运行以下命令来检查 LPAR PKS 状态:
# hdcryptmgr pksshow 3020-0349 PKS is not supported or PKS is not activated. 3020-0218 hdcrypt driver service error. QUERY_PKS service failed with error 124: An attempt was made to set an attribute to an unsupported value.此示例中的输出显示未激活 PKS。 缺省情况下,逻辑分区的密钥库大小设置为 0。
- 关闭 LPAR 并增加关联 HMC 中的密钥库大小。 密钥库大小在 4 KB-64 KB 范围内。 当 LPAR 处于活动状态时,无法更改密钥库大小的值。
- 通过运行以下命令再次检查 LPAR PKS 状态:
# hdcryptmgr pksshow PKS uses 32 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status PKS_Label (objects) - 通过运行以下命令将 PKS 认证方法添加到逻辑卷:
# hdcryptmgr authadd -t pks -n pks1 testlv PKS authentication method with name "pks1" added successfully. - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 - 通过运行以下命令来检查 PKS 状态:
# hdcryptmgr pksshow PKS uses 116 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status 00fb294400004c0000000176437c6663.1 VALID KEY PKS_Label (objects)PKS 是一种自动认证方法,表示 varyonvg 命令自动解锁逻辑卷的认证。
- 通过运行以下命令使卷组脱机:
# varyoffvg testvg - 通过运行以下命令来检查 PKS 状态:
# hdcryptmgr pksshow PKS uses 116 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status 00fb294400004c0000000176437c6663.1 UNKNOWN PKS_Label (objects) - 通过运行以下命令使卷组联机:
# varyonvg testvg - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done
添加密钥服务器认证方法
您可以使用任何符合密钥管理互操作性协议 (KMIP) 的密钥管理服务器来使用此类型的认证方法。 在此示例中, AIX 逻辑分区安装并配置为 IBM Security Key Lifecycle Manager (SKLM) V4.0 ,用于 AIX。 Security Key Lifecycle Manager 密钥用作加密密钥服务器。
要添加密钥服务器认证方法,请完成以下步骤:
- 通过运行以下命令来检查 LPAR 中的密钥服务器:
# keysvrmgr show 3020-0279 No key server in database - 通过运行以下命令,添加名为 keyserver1 ,运行以下命令:
# keysvrmgr add -i 9.X.X.X -s /tmp/sklm_cert.cer -c /tmp/ssl_client_cer.p12 keyserver1 Key server keyserver1 successfully added - 通过运行以下命令再次检查 LPAR 中的密钥服务器:
# keysvrmgr show List of key servers: ID PWD IP:PORT keyserver1 N 9.X.X.X:5696 - 通过运行以下命令,检查保存在 ODM KeySvr 对象类中的加密密钥服务器信息:
# odmget KeySvr KeySvr: keysvr_id = "keyserver1" ip_addr = "9.X.X.X" port = 5696 svr_cert_path = "/tmp/sklm_cert.cer" cli_cert_path = /tmp/ssl_client_cer.p12 " flags = 0 - 通过运行以下命令将密钥服务器认证方法添加到逻辑卷:
# hdcryptmgr authadd -t keyserv -n key1_testlv -m keyserver1 testlv Keyserver authentication method with name "key1_testlv" added successfully. - 通过运行以下命令来检查逻辑卷的加密状态:
#hdcryptmgr showlv -v testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv
添加密钥文件认证方法
要添加密钥文件认证方法,请完成以下步骤:
- 通过运行以下命令,创建包含口令文本的名为 testfile 的文件:
# cat /testfile Add1ng Key f1le authent1cation meth0d - 通过运行以下命令将密钥文件认证方法添加到逻辑卷:
# hdcryptmgr authadd -t keyfile -n key1_file -m /testfile testlv Keyfile authentication method with name "key1_file" added successfully. - 通过运行以下命令来检查 testfile 文件的内容:
# cat /testfile Add1ng Key f1le authent1cation meth0d 00fb294400004c0000000176437c6663.1 xdxKjlJvZU+f9lFTgSM63kGoIoKW6Yxc+bKrk5GgCzc= - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file
添加口令认证方法
要添加口令认证方法,请完成以下步骤:
- 通过运行以下命令将口令认证方法添加到逻辑卷:
# hdcryptmgr authadd -t pwd -n test_pwd testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "test_pwd" added successfully. - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file #4 Passphrase test_pwd
在迁移卷组之前将 PKS 迁移到另一个 LPAR
要将平台密钥库 (PKS) 迁移到另一个 LPAR ,请完成以下步骤:
- 通过运行以下命令将 PKS 密钥导出到另一个文件中:
# hdcryptmgr pksexport -p /tmp/pksexp testvg Enter Passphrase: Confirm Passphrase: 1 PKS keys exported. - 通过运行以下命令将卷组导入到另一个 LPAR:
# importvg -y testvg hdisk2 - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file #4 Passphrase test_pwd - 通过运行以下命令,检查认证方法是否有效且可访问:
# hdcryptmgr authcheck -n pks1 testlv 3020-0199 Key does not exist in PKS storage. 3020-0127 hdcryptmgr authcheck failed for LV testlv. - 将 PKS 密钥文件移至新的 LPAR 并运行以下命令:
# hdcryptmgr pksimport -p /tmp/pksexp testvg Enter Passphrase: 3020-0341 Key having LVid 00fb294400004c0000000176437c6663.1 is successfully imported in LV testlv. 1 PKS keys imported. - 通过运行以下命令,检查认证方法是否有效且可访问:
# hdcryptmgr authcheck -n pks1 testlv PKS authentication check succeeded.
更改卷组的加密策略
加密元数据保存在卷组中每个磁盘的末尾。 启用卷组加密需要卷组中每个磁盘上的可用物理分区。
- 通过运行以下命令来更改卷组的数据加密选项:
# chvg -k y testvg 0516-1216 chvg: Physical partitions are being migrated for volume group descriptor area expansion. Please wait. - 通过运行以下命令来检查卷组的详细信息:
# lsvg testvg VOLUME GROUP: testvg VG IDENTIFIER: 00fb294400004c000000017648ff8d32 VG STATE: active PP SIZE: 8 megabyte(s) VG PERMISSION: read/write TOTAL PPs: 636 (5088 megabytes) MAX LVs: 256 FREE PPs: 506 (4048 megabytes) LVs: 1 USED PPs: 130 (1040 megabytes) OPEN LVs: 0 QUORUM: 2 (Enabled) TOTAL PVs: 1 VG DESCRIPTORS: 2 STALE PVs: 0 STALE PPs: 0 ACTIVE PVs: 1 AUTO ON: yes MAX PPs per VG: 32512 MAX PPs per PV: 1016 MAX PVs: 32 LTG size (Dynamic): 512 kilobyte(s) AUTO SYNC: no HOT SPARE: no BB POLICY: relocatable PV RESTRICTION: none INFINITE RETRY: no DISK BLOCK SIZE: 512 CRITICAL VG: no FS SYNC OPTION: no CRITICAL PVs: no ENCRYPTION: yes
更改逻辑卷的加密策略
要更改加密策略,请完成以下步骤:
注: 此功能仅供实验使用。
- 通过运行以下命令来启用逻辑卷加密:
# hdcryptmgr plain2crypt testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "initpwd" added successfully. Created recovery file : /var/hdcrypt/conv.004200021607542921 In case of error or if the conversion is canceled, this file may be necessary to be able to recover the LV. If the conversion is fully successful, then the file will be removed automatically Successfully converted LV testlv to an encrypted LV.该命令执行以下操作:- 启用逻辑卷的加密策略
- 初始化已加密逻辑卷的主密钥和加密元数据
- 对逻辑卷中的数据进行加密
- 通过运行以下命令来检查逻辑卷的详细信息:
# lslv testlv LOGICAL VOLUME: testlv VOLUME GROUP: testvg LV IDENTIFIER: 00fb294400004c000000017648ff8d32.2 PERMISSION: read/write VG STATE: active/complete LV STATE: closed/syncd TYPE: jfs WRITE VERIFY: off MAX LPs: 512 PP SIZE: 8 megabyte(s) COPIES: 1 SCHED POLICY: parallel LPs: 10 PPs: 10 STALE PPs: 0 BB POLICY: relocatable INTER-POLICY: minimum RELOCATABLE: yes INTRA-POLICY: middle UPPER BOUND: 32 MOUNT POINT: N/A LABEL: None MIRROR WRITE CONSISTENCY: on/ACTIVE EACH LP COPY ON A SEPARATE PV ?: yes Serialize IO ?: NO INFINITE RETRY: no PREFERRED READ: 0 ENCRYPTION: yes - 通过运行以下命令来检查逻辑卷的加密状态:
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd
最佳实践
- 将内联日志设备用于从加密逻辑卷创建的文件系统。
- 如果使用外部日志设备创建文件系统,并且在多个文件系统之间共享日志设备,请在安装文件系统之前对所有加密逻辑卷解锁认证 (hdcryptmgr authunlock) )。
- 使用非PKS身份验证方法来解锁快照卷组的身份验证。
- 要使用 cplv 命令复制已加密的逻辑卷,请创建在其中启用加密的逻辑卷,并使用该逻辑卷作为目标逻辑卷来复制源逻辑卷。
LV 加密的限制
如果 LV 已加密,那么不支持以下 LV 命令或功能:
- AIX Live Update
- 如果启用了 LV 加密,那么不支持实时更新操作。
- I/O 序列化
- 在进行 LV 加密转换时,不保证 I/O 序列化。
LV 加密的文件系统注意事项
创建或修改与加密 LV 关联的文件系统时,请考虑以下事项:
- 在创建文件系统或将其安装到已加密的 LV 上时,请确保已加密的 LV 已解锁并激活。
- 如果在系统引导期间未解锁使用网络文件系统 (NFS) /etc/exports 文件托管文件系统的加密 LV ,那么文件系统的安装操作将失败,并且不会更新 /etc/exports 文件中的物理文件系统表。 解锁加密的 LV 并安装文件系统后,可以运行 exportfs -a 命令来更新 /etc/exports 文件。
- 在增强型日志文件系统( JFS2 )中,您可以在多个文件系统中使用单个日志设备。 如果日志设备在多个文件系统之间共享,并且文件系统使用的 LV 已加密,那么必须先解锁 LV ,然后再安装文件系统。