我在网上搜索了以下问题的明确答案,但找不到明确的“是”或“否”,或有关如何启用此方法的明确程序!
在两节点设置中,使用 DRBD 作为块设备复制技术,使用 OCFs2 作为集群文件系统(需要主动/主动 DRBD 模式),是否可以使用 LUKS 加密底层块设备,使其可以从集群中的任何节点?内核在启动时是否需要每个节点上的密码?如果没有,它是如何工作的?
提前感谢您的回复。
D.
带有 OCFS2 的 Dual Primary DRBD 比较常见,并且有大量的信息和指南可用,所以我不会深入讨论。
不寻常的部分是 LUKS 加密。是的,这是可以做到的。最简单的方法是简单地为 DRBD 加密备份磁盘或 LVM 卷。本质上,将 LUKS 加密磁盘放置在 DRBD 之下。这样,一旦 LUKS 卷被解锁,并且 DRBD 可以访问它,它将像任何其他 DRBD 设置一样运行。为了清楚起见,它应该如下所示:原始磁盘 -> LUKS -> DRBD -> OCFS2
这确实意味着在启动 DRBD 之前需要解锁磁盘。这通常意味着您需要在每次启动时输入密码,但可以通过密钥文件在启动时自动解锁加密卷。但是,这个密钥文件需要存储在某个已经未加密的地方,所以这有点违背了目的。
另请注意,双主 DRBD 需要某种机制来对节点进行物理 STONITH(IPMI 设备、联网连接的 UPS 等)。如果没有适当的保护措施或配置,它也可以工作,但如果有足够的时间,它会扰乱和破坏你的数据。请务必使用 STONITH。