3.6. REST での暗号化

Red Hat Ceph Storage は、いくつかのシナリオでは、残りの暗号化をサポートします。

  1. Ceph Storage Cluster: Ceph Storage クラスターは、Ceph OSD の Linux Unified Key Setup または LUKS 暗号化と、それに対応するジャーナル、ライトアヘッドログ、メタデータデータベースをサポートします。このシナリオでは、クライアントが Ceph Block Device、Ceph Filesystem、または librados 上に構築されたカスタムアプリケーションであるかどうかにかかわらず、Ceph は静止状態のすべてのデータを暗号化します。
  2. Ceph Object Gateway: Ceph ストレージクラスターは、クライアントオブジェクトの暗号化をサポートしています。Ceph Object Gateway がオブジェクトを暗号化する際に、それらは Red Hat Ceph Storage クラスターとは独立して暗号化されます。また、送信されるデータは、Ceph Object Gateway と Ceph Storage Cluster の間で暗号化された形式になります。

Ceph Storage クラスターの暗号化

Ceph Storage クラスターは、Ceph OSD に保存されているデータの暗号化をサポートします。Red Hat Ceph Storage は、dmcrypt を指定して lvm で論理ボリュームを暗号化できます。つまり、ceph-volume によって呼び出される lvm は、OSD の物理ボリュームではなく論理ボリュームを暗号化します。同じ OSD キーを使用してパーティションなどの LVM 以外のデバイスを暗号化できます。論理ボリュームを暗号化することで、より多くの設定の柔軟性が可能になります。

LUKS v1 は、Linux ディストリビューション間で最も幅広いサポートを持つため、Ceph は LUKS v2 ではなく LUKS v1 を使用します。

OSD を作成する際、lvm は秘密鍵を生成し、その鍵を stdin 経由で JSON ペイロードで Ceph Monitors に安全に渡します。暗号化キーの属性名は dmcrypt_key です。

重要

システム管理者は、暗号化を明示的に有効にする必要があります。

デフォルトでは、Ceph は Ceph OSD に保存されたデータを暗号化しません。システム管理者は、Ceph OSD に保存されているデータを暗号化するために dmcrypt を有効にする必要があります。Ceph OSD をストレージクラスターに追加するために Ceph Orchestrator サービス仕様ファイルを使用する場合は、ファイルに次のオプションを設定して Ceph OSD を暗号化します。

...
encrypted: true
...

注記

LUKS および dmcrypt は、保存データの暗号化のみに対応し、移動中のデータの暗号化には対応しません。

Ceph Object Gateway 暗号化

Ceph Object Gateway は、S3 API を使用したお客様によって提供されるキーによる暗号化をサポートします。お客様が提供する鍵を使用する場合、S3 クライアントは暗号鍵を各リクエストと共に渡して、暗号化されたデータの読み取りまたは書き込みを行います。これらのキーを管理するのは、お客様の責任です。各オブジェクトの暗号化に使用する Ceph Object Gateway の鍵を覚えておく必要があります。

関連情報