15.3. 加密 Cinder 卷数据

强烈建议使用 OpenStack 卷加密功能。这在卷加密下的 Data Encryption 部分中讨论。使用此功能时,通过安全地删除加密密钥来实现数据销毁。最终用户可以在创建卷时选择此功能,但请注意,管理员必须首先执行对卷加密功能的一次性设置。

如果没有使用 OpenStack 卷加密功能,则其他方法通常很难启用。如果使用后端插件,则可能会独立进行加密或非标准覆盖解决方案。OpenStack Block Storage 的插件将以各种方式存储数据。许多插件都特定于某个供应商或技术,而其他插件则针对文件系统(如 LVM 或 ZFS)提供更多 合并解决方案。安全销毁数据的方法因插件、供应商和文件系统而异。

有些后端(如 ZFS)将支持写时复制以防止数据暴露。在这些情况下,从未写入块读取始终返回零。其他后端(如 LVM)可能无法原生支持此功能,因此 cinder 插件在将之前写入的块分配给用户前需要覆盖之前写入的块。务必要检查您选择的卷后端提供的保证,并查看哪些补救可能可用于提供这些保证。