既存のソフトウェアRAIDミラーボリュームに暗号化を追加する

既存のソフトウェアRAIDミラーボリュームに暗号化を追加する

現在、ソフトウェアRAIDを使用してミラーリングされた複数のLVMボリュームを持つサーバーがあります。このような:

sdd                        8:48   0 894.3G  0 disk  
└─sdd1                     8:49   0 465.8G  0 part  
  └─md4                    9:4    0 465.8G  0 raid1 /myfiles
sdc                        8:32   0 894.3G  0 disk  
└─sdc1                     8:33   0 894.3G  0 part  
  └─md4                    9:4    0 465.8G  0 raid1 /myfiles

実は今見たら、(dm-X)言及されたデバイスが一つもなく、写真にLVMがないようです。 :(私はLVMを使用します/homeが、使用/しません/boot

dm-cryptファイルシステムを構成するレイヤー間に暗号化レイヤーを挿入する方法はありますか/myfiles?それとも、LVMを使用して新しいパーティション/デバイスセットを作成し、すべてをコピーする必要がありますか?

以前は、sdcRAIDを破壊し、新しいディスクに交換し、RAIDシステムを再同期してプロセスを繰り返して、ダウンタイムなしで物理ディスクを移行しましたsdd。暗号化されたボリュームを準備できますか?下にRAIDと同じ技術を使用していますか?または、dm-cryptこの機能を使用するにはLVM管理ボリュームに切り替える必要がありますか?

この特別な場合は、Linux 3.2カーネルとファイルシステムを実行しているため、暗号化のみを有効にするext4ことはできません。ext4

答え1

dm-cryptを使用したディスク暗号化はブロックデバイスをインポートし、ブロックデバイスをエクスポートします。 LVMに依存せずcryptsetup(通常)これを有効または設定できますdmsetup

暗号化層を挿入するときに直面する唯一の問題は、一般的なアプローチが少ないディスク容量を占めるLUKSヘッダーを使用することです。これは、暗号化されたブロックデバイスが元のブロックデバイスよりわずかに小さいことを意味します。これにより、RAIDアレイに再追加できなくなる可能性があります(RAIDレイアウトに使用されていないスペースの量によって異なります)。

もちろん、少し小さい新しいアレイとその上に少し小さい新しいファイルシステムを作成する場合は、データをコピーできます。ただし、ダウンタイムが必要な場合があります。

関連情報