Menu Close

39.6. 암호화된 Stratis 풀 생성

데이터를 보호하려면 하나 이상의 블록 장치에서 암호화된 Stratis 풀을 생성할 수 있습니다.

암호화된 Stratis 풀을 생성하면 커널 인증 키가 기본 암호화 메커니즘으로 사용됩니다. 후속 시스템을 재부팅한 후 이 커널 인증 키는 암호화된 Stratis 풀을 잠금 해제하는 데 사용됩니다.

하나 이상의 블록 장치에서 암호화된 Stratis 풀을 생성할 때 다음 사항에 유의하십시오.

  • 각 블록 장치는 cryptsetup 라이브러리를 사용하여 암호화되며 LUKS2 형식을 구현합니다.
  • 각 Stratis 풀에는 고유한 키를 포함하거나 다른 풀과 동일한 키를 공유할 수 있습니다. 이러한 키는 커널 인증 키에 저장됩니다.
  • Stratis 풀을 구성하는 블록 장치는 암호화되거나 모든 암호화되지 않은 상태여야 합니다. 동일한 Stratis 풀에 암호화 및 암호화되지 않은 블록 장치를 둘 다 사용할 수 없습니다.
  • 암호화된 Stratis 풀의 데이터 계층에 추가된 블록 장치는 자동으로 암호화됩니다.

사전 요구 사항

  • Stratis v2.1.0 이상이 설치되었습니다. 자세한 내용은 Stratis 설치를 참조하십시오.
  • stratisd 서비스가 실행 중입니다.
  • Stratis 풀을 생성하는 블록 장치는 사용되지 않으며 마운트되지 않습니다.
  • Stratis 풀을 생성하는 블록 장치는 크기가 각각 1GB 이상입니다.
  • IBM Z 아키텍처에서 /dev/dasd* 블록 장치를 파티셔닝해야 합니다. Stratis 풀에서 파티션을 사용합니다.

DASD 장치를 파티셔닝 하는 방법에 대한 자세한 내용은 IBM Z에서 Linux 인스턴스 구성을 참조하십시오.

절차

  1. Stratis 풀에서 사용하려는 각 블록 장치에 존재하는 파일 시스템, 파티션 테이블 또는 RAID 서명을 삭제합니다.

    # wipefs --all block-device

    여기서 block-device 는 블록 장치의 경로입니다(예: /dev/sdb ).

  2. 키 세트를 아직 생성하지 않은 경우 다음 명령을 실행하고 프롬프트에 따라 암호화에 사용할 키를 생성합니다.

    # stratis key set --capture-key key-description

    여기서 key-description 은 커널 키링에서 생성되는 키에 대한 참조입니다.

  3. 암호화된 Stratis 풀을 생성하고 암호화에 사용할 키 설명을 지정합니다. key-description 옵션을 사용하는 대신 --keyfile-path 옵션을 사용하여 키 경로를 지정할 수도 있습니다.

    # stratis pool create --key-desc key-description my-pool block-device

    다음과 같습니다.

    key-description
    이전 단계에서 생성한 커널 인증 키에 존재하는 키를 참조합니다.
    my-pool
    새 Stratis 풀의 이름을 지정합니다.
    block-device

    비어 있거나 초기화된 블록 장치의 경로를 지정합니다.

    참고

    한 줄에 여러 블록 장치를 지정합니다.

    # stratis pool create --key-desc key-description my-pool block-device-1 block-device-2
  4. 새 Stratis 풀이 생성되었는지 확인합니다.

    # stratis pool list