Red Hat Training
A Red Hat training course is available for RHEL 8
25.6. 创建一个加密的 Stratis 池
要保护您的数据,您可以从一个或多个块设备创建一个加密的 Stratis 池。
当您创建加密的 Stratis 池时,内核密钥环将用作主加密机制。后续系统重启此内核密钥环后,用来解锁加密的 Stratis 池。
当从一个或多个块设备创建加密的 Stratis 池时,请注意以下几点:
-
每个块设备都使用
cryptsetup库进行加密,并实施LUKS2格式。 - 每个 Stratis 池都可以有一个唯一的密钥,或者与其他池共享相同的密钥。这些密钥保存在内核密钥环中。
- 组成 Stratis 池的块设备必须全部加密或者全部未加密。不可能同时在同一个 Stratis 池中加密和未加密块设备。
- 添加到加密 Stratis 池的数据层中的块设备会自动加密。
先决条件
- Stratis v2.1.0 或更高版本已安装。如需更多信息,请参阅 安装 Stratis。
-
stratisd服务在运行。 - 创建 Stratis 池的块设备没有被使用,且没有被挂载。
- 在其上创建 Stratis 池的每个块设备至少为 1GB。
-
在 IBM Z 构架中,必须对
/dev/dasd*块设备进行分区。使用 Stratis 池中的分区。
有关分区 DASD 设备的详情,请参考 在 IBM Z 上配置 Linux 实例。
流程
删除您要在 Stratis 池中使用的每个块设备上存在的任何文件系统、分区表或 RAID 签名:
# wipefs --all block-device其中
block-device是块设备的路径;例如,/dev/sdb。如果您还没有创建密钥集,请运行以下命令,并按照提示创建用于加密的密钥集。
# stratis key set --capture-key key-description其中
key-description是对在内核密钥环中创建的密钥的引用。创建加密的 Stratis 池并指定用于加密的密钥描述。您还可以使用
--keyfile-path选项指定密钥路径,而不是使用key-description选项。# stratis pool create --key-desc key-description my-pool block-device
其中
key-description- 引用您在上一步中创建的内核密钥环中存在的密钥。
my-pool- 指定新的 Stratis 池的名称。
block-device指定到空或者有线块设备的路径。
注意在一行中指定多个块设备:
# stratis pool create --key-desc key-description my-pool block-device-1 block-device-2
确认创建了新的 Stratis 池:
# stratis pool list
