Menu Close

2.4.2. 暗号化されていないボリュームの暗号化

暗号化されていないボリュームを暗号化するには、暗号化されていないボリュームをバックアップし、それを暗号化された新しいボリュームに復元するか、暗号化されていないボリュームから Image サービス (glance) のイメージを作成し、そのイメージから暗号化された新しいボリュームを作成する必要があります。

前提条件

  • 暗号化する暗号化されていないボリューム

手順

  1. cinder-backup サービスが利用可能な場合は、現在の暗号化されていないボリュームをバックアップします。

    $ cinder backup-create <unencrypted_volume>
    • <unencrypted_volume> を、暗号化されていないボリュームの名前または ID に置き換えます。
  2. 暗号化された新しいボリュームを作成します。

    $ cinder create <encrypted_volume_size> --volume-type <encrypted_volume_type>
    • <encrypted_volume_size> を新しいボリュームのサイズ (GB) に置き換えます。暗号化メタデータに対応するために、この値は暗号化されていないボリュームのサイズよりも 1 GB 大きくする必要があります。
    • <encrypted_volume_type> を必要な暗号化タイプに置き換えます。
  3. 暗号化されていないボリュームのバックアップを暗号化された新しいボリュームに復元します。

    $ cinder backup-restore <backup> --volume <encrypted_volume>
    • <backup> を、暗号化されていないボリュームバックアップの名前または ID に置き換えます。
    • <encrypted_volume> を新しい暗号化ボリュームの ID に置き換えます。

cinder-backup サービスが利用できない場合は、upload-to-image コマンドを使用して、暗号化されていないボリュームのイメージを作成してから、そのイメージから新しい暗号化されたボリュームを作成します。

  1. 暗号化されていないボリュームの Image サービスイメージを作成します。

    $ cinder upload-to-image <unencrypted_volume> <new_image>
    • <unencrypted_volume> を、暗号化されていないボリュームの名前または ID に置き換えます。
    • <new_image> を新しいイメージの名前に置き換えます。
  2. イメージから、そのイメージより 1 GB 大きい新たなボリュームを作成します。

    $ cinder volume create --size <size> --volume-type luks --image <new_image> <encrypted_volume_name>
    • <size> を新しいボリュームのサイズに置き換えます。この値は、暗号化されていない古いボリュームのサイズよりも 1 GB 大きくする必要があります。
    • <new_image> を、暗号化されていないボリュームから作成したイメージの名前に置き換えます。
    • <encrypted_volume_name> を新しい暗号化ボリュームの名前に置き換えます。