如何结合DRBD、OCFs2和LUKS?
How to combine DRBD, OCFs2 and LUKS?
我在网上搜索了以下问题的明确答案,但找不到明确的“是”或“否”,也找不到关于如何启用此方法的明确程序!
在双节点设置中,以 DRBD 作为块设备复制技术,以 OCFs2 作为集群文件系统(需要 active/active DRBD 模式),是否可以使用 LUKS 来加密底层块设备使得它可以从集群中的任何节点使用?内核是否需要在启动时在每个节点上输入密码?如果没有,它是如何工作的?
提前感谢您的回复。
D.
带有 OCFS2 的双主 DRBD 比较常见,并且有大量可用的信息和指南,因此我不会深入讨论。
不寻常的部分是 LUKS 加密。是的,这是可以做到的。最简单的方法是简单地为 DRBD 加密支持磁盘或 LVM 卷。本质上,将 LUKS 加密磁盘放在 DRBD 之下。这样,一旦 LUKS 卷被解锁,并且 DRBD 可以访问它,它将像任何其他 DRBD 设置一样运行。只是为了清楚它应该是这样的:
原始磁盘 -> LUKS -> DRBD -> OCFS2
这确实意味着需要在启动 DRBD 之前解锁磁盘。这通常意味着您需要在每次启动时输入密码,但可以通过密钥文件在启动时自动解锁加密卷。然而,这个密钥文件需要存储在某个已经未加密的地方,所以这有点违背了目的。
另请注意,双主 DRBD 需要某种机制来物理停止节点(IPMI 设备、网络连接的 UPS 等)。它可以在没有到位或未配置此保护措施的情况下工作,但如果有足够的时间,它会扰乱和破坏您的数据。请务必使用 STONITH。
我在网上搜索了以下问题的明确答案,但找不到明确的“是”或“否”,也找不到关于如何启用此方法的明确程序!
在双节点设置中,以 DRBD 作为块设备复制技术,以 OCFs2 作为集群文件系统(需要 active/active DRBD 模式),是否可以使用 LUKS 来加密底层块设备使得它可以从集群中的任何节点使用?内核是否需要在启动时在每个节点上输入密码?如果没有,它是如何工作的?
提前感谢您的回复。
D.
带有 OCFS2 的双主 DRBD 比较常见,并且有大量可用的信息和指南,因此我不会深入讨论。
不寻常的部分是 LUKS 加密。是的,这是可以做到的。最简单的方法是简单地为 DRBD 加密支持磁盘或 LVM 卷。本质上,将 LUKS 加密磁盘放在 DRBD 之下。这样,一旦 LUKS 卷被解锁,并且 DRBD 可以访问它,它将像任何其他 DRBD 设置一样运行。只是为了清楚它应该是这样的: 原始磁盘 -> LUKS -> DRBD -> OCFS2
这确实意味着需要在启动 DRBD 之前解锁磁盘。这通常意味着您需要在每次启动时输入密码,但可以通过密钥文件在启动时自动解锁加密卷。然而,这个密钥文件需要存储在某个已经未加密的地方,所以这有点违背了目的。
另请注意,双主 DRBD 需要某种机制来物理停止节点(IPMI 设备、网络连接的 UPS 等)。它可以在没有到位或未配置此保护措施的情况下工作,但如果有足够的时间,它会扰乱和破坏您的数据。请务必使用 STONITH。