使用Luks2对Ceph Rbd进行加密，你会了吗？

多个行业（例如金融行业）越来越需要在主机上使用租户/用户提供的加密密钥以卷粒度加密数据。这是由国家法规和对安全性的日益重视所推动的。迄今为止，Ceph RBD 不提供任何此类解决方案，现有的替代方案是在 libRBD 之前添加一个加密层。此类解决方案的示例是使用 QEMU LUKS 加密或依赖 DM-Crypt。但是，在与 RBD 层中实现的存储功能接口时，使用 RBD 之上的加密层有局限性。当我们进行镜像克隆时，只有在父子节点使用相同的加密密钥加密时才会起作用。通过将加密向下移动到 libRBD，就可以灵活地使用 Ceph RBD 克隆了。,还是再介绍下luks吧，虽然上篇文章已经介绍过，但还是没有刨根问底。LUKS 有两个版本，LUKS2 具有对标头损坏的弹性等功能，并且默认使用Argon2加密算法，而 LUKS1 使用PBKDF2。LUKS2支持4KB 加密块大小，而QEMU 中的luks1加密以加密单元扇区为 512 字节的加密块粒度工作，效率较低。目前libvirt只支持luks1和luks2格式的磁盘加密，从qemu4.5版本开始已经不支持qcow的磁盘加密。,加密标签支持可选的引擎标签，当前定义的引擎值是qemu和librbd。qemu和librbd都 需要使用 qemu 驱动程序。librbd引擎要求qemu版本>=6.1.0， ceph集群和librbd1>=16.1.0，仅适用于RBD network disk。如果未指定引擎标签，则默认使用qemu引擎。luks2格式目前只有librbd引擎支持，只能应用于RBD network disk（RBD镜像）。 ,我们现在使用的是Ubuntu20.04系统，对应的qemu版本为4.2，libvirt版本为6.0版本，这个版本只能使用luks格式加密，如果想要使用luks2格式进行加密，那就必须把qemu版本升级至6.1以上，libvirt版本升级至7.9以上，升级目前只能通过编译升级，但是很可惜，没升级成功，不过Ubuntu22.04的libvirt版本是8.0，qemu版本是6.2，这里我安装了一个Ubuntu22.04的系统对rbd镜像加密进行验证。,查阅libvirt版本列表，发现从2021.11.1发布的7.9版本开始支持librbd加密引擎。,默认情况下，RBD 图像不会加密。要加密 RBD 镜像，需要将其格式化为受支持的加密格式之一（luks1或者luks2）。格式化操作会将加密的元数据写到rbd镜像中。加密元数据通常包括加密格式和版本、密码算法和模式规范等信息，以及用于保护加密密钥的信息。,目前只能格式化图像。加密图像的克隆本质上使用相同的格式和密码进行加密。在格式化之前写入图像的任何数据都可能变得不可读，尽管它仍可能占用存储资源。目前，仅支持 AES-128 和 AES-256 加密算法。此外，xts-plain64 是目前唯一支持的加密模式。,不过可以导入在 RBD 之外的现有 LUKS 镜像。,使用luks对ceph rbd加密我就不介绍了，上篇文章已经介绍过了，这里介绍使用luks2对rbd进行加密,加密格式操作生成一个 LUKS 头并将其写入图像的开头。标头附加了一个包含随机生成的加密密钥的密钥槽，并受从 passphrase-file读取的密码保护。默认情况下，将使用 xts-plain64 模式下的 AES-256，格式化操作也允许选择 AES-128。,编辑虚拟机disk字段，添加encryption,这里我将镜像名称换成克隆后的388，encryption字段去掉，发现不能挂载了，克隆的子镜像说明也是加密的。,