Red Hat Training

A Red Hat training course is available for RHEL 8

11.13. 在 NBDE 网络中部署虚拟机

clevis luks bind 命令不会改变 LUKS 主密钥。这意味着,如果您创建 LUKS 加密镜像以在虚拟机或云环境中使用,则运行此镜像的所有实例都将共享主密钥。这极其不安全,应始终避免。

这不是 Clevis 的一个限制,而是 LUKS 的设计原则。如果您要在云中加密根卷,则需要确保为云中的每个 Red Hat Enterprise Linux 实例执行安装过程(通常使用 Kickstart)。如果没有同时共享 LUKS 主密钥,就无法共享镜像。

如果您要在虚拟化环境中部署自动解锁,红帽强烈建议您将 lorax 或 virt-install 等系统与 Kickstart 文件一起使用(请参阅 使用 Kickstart 配置 LUKS 加密卷自动注册)或其他自动配置工具,以确保每个加密的虚拟机都有一个唯一的 master 密钥。

注意

虚拟机不支持使用 TPM 2.0 策略自动解锁。

其它资源

  • clevis-luks-bind(1) man page