Как совместить DRBD, OCFs2 и LUKS?
Я искал в Интернете однозначный ответ на следующий вопрос, но не смог найти четкого ДА или НЕТ или четкой процедуры о том, как включить этот подход!
В установке с двумя узлами, с DRBD в качестве технологии репликации блочных устройств, с OCFs2 в качестве кластерной файловой системы (для которой требуется активный / активный режим DRBD), возможно использовать LUKS для шифрования базового блочного устройства таким образом, чтобы его можно было использовать из какой-нибудь узел в кластере? Требуется ли ядру пароль на каждом узле во время загрузки? Если нет, то как это работает?
Заранее спасибо за ваши ответы.
D.
1 ответ
Двойной первичный DRBD с OCFS2 встречается довольно часто, и имеется множество информации и руководств, поэтому я не буду вдаваться в подробности.
Необычной частью является шифрование LUKS. Да, это может быть сделано. Самый простой способ - просто зашифровать резервный диск или том LVM для DRBD. По сути, размещение зашифрованного диска LUKS ниже DRBD. Таким образом, как только том LUKS разблокирован и DRBD может получить к нему доступ, он будет работать как любая другая установка DRBD. Просто чтобы быть ясно, это должно выглядеть так: Raw диск -> LUKS -> DRBD -> OCFS2
Это означает, что диск должен быть разблокирован перед запуском DRBD. Обычно это означает, что вам нужно будет вводить парольную фразу при каждой загрузке, но можно автоматически разблокировать зашифрованный том при загрузке через ключевой файл. Однако этот ключевой файл необходимо будет хранить в каком-то месте, уже не зашифрованном, так что это несколько противоречит цели.
Также обратите внимание, что двух-первичный DRBD требует некоторого механизма для физического УСТАНОВЛЕНИЯ узлов (устройства IPMI, подключенного к сети ИБП и т. Д.). Он будет работать без установленной или настроенной защиты, но при наличии достаточного времени он зашифрует и испортит ваши данные. Пожалуйста, обязательно используйте STONITH.