Menu Close
Settings Close

Language and Page Formatting Options

11.13. NBDE 网络中虚拟机的部署

clevis luks bind 命令不会改变 LUKS 主密钥。这意味着,如果您创建用于虚拟机或云环境中的 LUKS 加密镜像,则运行此镜像的所有实例都会共享主密钥。这极其不安全,应始终避免。

这不是 Clevis 的一个限制,而是 LUKS 的设计原则。如果您的场景在云中需要加密的根卷,请对云中的每个 Red Hat Enterprise Linux 实例执行安装过程(通常使用 Kickstart)。如果没有共享 LUKS 主密钥,就无法共享镜像。

要在虚拟环境中部署自动解锁,请使用 Kickstart 文件(请参阅 使用 Kickstart 配置 LUKS 加密卷的自动注册)或另一个自动配置工具来确保每个加密虚拟机都有唯一的主密钥。

其他资源

  • clevis-luks-bind(1) 手册页