3.6. Rest의 암호화

Red Hat Ceph Storage는 다음과 같은 몇 가지 시나리오에서 미사용 암호화를 지원합니다.

  1. Ceph Storage 클러스터: Ceph Storage 클러스터는 Ceph OSD의 Linux 통합 키 설정 또는 LUKS 암호화와 해당 저널, 쓰기 로그 및 메타데이터 데이터베이스를 지원합니다. 이 시나리오에서 Ceph는 클라이언트가 Ceph Block Device, Ceph Filesystem 또는 librados 에 빌드된 사용자 지정 애플리케이션인지에 관계없이 미사용 모든 데이터를 암호화합니다.
  2. Ceph Object Gateway: Ceph 스토리지 클러스터는 클라이언트 오브젝트의 암호화를 지원합니다. Ceph Object Gateway에서 오브젝트를 암호화하면 Red Hat Ceph Storage 클러스터와 독립적으로 암호화됩니다. 또한 전송된 데이터는 Ceph Object Gateway와 Ceph Storage 클러스터 간에 암호화된 형태로 되어 있습니다.

Ceph Storage 클러스터 암호화

Ceph 스토리지 클러스터는 Ceph OSD에 저장된 데이터 암호화를 지원합니다. Red Hat Ceph Storage는 dmcrypt 를 지정하여 lvm 으로 논리 볼륨을 암호화할 수 있습니다. 즉, ceph-volume 으로 호출되는 lvm 은 물리 볼륨이 아닌 OSD의 논리 볼륨을 암호화합니다. 동일한 OSD 키를 사용하여 파티션과 같이 LVM 이외의 장치를 암호화할 수 있습니다. 논리 볼륨을 암호화하면 구성 유연성이 향상됩니다.

Ceph는 LUKS v2 대신 LUKS v1을 사용합니다. LUKS v1은 Linux 배포 간에 가장 광범위한 지원이 있기 때문입니다.

OSD를 생성할 때 lvm 은 시크릿 키를 생성하고 stdin 을 통해 JSON 페이로드에서 안전하게 키를 Ceph Monitor에 전달합니다. 암호화 키의 특성 이름은 dmcrypt_key 입니다.

중요

시스템 관리자는 암호화를 명시적으로 활성화해야 합니다.

기본적으로 Ceph는 Ceph OSD에 저장된 데이터를 암호화하지 않습니다. 시스템 관리자는 dmcrypt 를 활성화하여 Ceph OSD에 저장된 데이터를 암호화해야 합니다. Ceph OSD를 스토리지 클러스터에 추가하는 데 Ceph Orchestrator 서비스 사양 파일을 사용하는 경우 파일에서 Ceph OSD를 암호화하도록 다음 옵션을 설정합니다.

예제

...
encrypted: true
...

참고

LUKS 및 dmcrypt 는 전송 중인 데이터 암호화가 아닌 미사용 데이터의 암호화만 처리합니다.

Ceph Object Gateway Encryption

Ceph Object Gateway는 S3 API를 사용하여 고객 제공 키로 암호화를 지원합니다. 고객 제공 키를 사용하는 경우 S3 클라이언트는 암호화 키를 각 요청과 함께 암호화된 데이터를 읽거나 씁니다. 이러한 키를 관리하는 것은 고객의 책임입니다. 고객은 각 오브젝트를 암호화하는 데 사용되는 Ceph Object Gateway의 키를 알고 있어야 합니다.

추가 리소스