我在网上搜索了以下问题的明确答案,但找不到明确的"是"或"否",也找不到关于如何启用这种方法的明确过程!
在双节点设置中,DRBD作为块设备复制技术,OCFs2作为集群文件系统(需要主动/主动DRBD模式),是否可以使用LUKS加密底层块设备,使其可从集群中的任何节点使用?内核在启动时是否需要每个节点上的密码短语?如果没有,它是如何工作的?
提前感谢您的回复。
D。
带OCFS2的双主DRBD有点常见,而且有很多信息和指南,所以我不谈了。
不同寻常的部分是LUKS加密。是的,这是可以做到的。最简单的方法是简单地为DRBD加密备份磁盘或LVM卷。从本质上讲,将LUKS加密磁盘放置在DRBD下方。这样,一旦LUKS卷被解锁,并且DRBD可以访问它,它将像任何其他DRBD设置一样运行。需要明确的是,它应该是这样的:原始磁盘->LUKS->DRBD->OCFS2
这确实意味着在启动DRBD之前需要解锁磁盘。这通常意味着您需要在每次启动时输入密码短语,但也可以在启动时通过密钥文件自动解锁加密卷。然而,这个密钥文件需要存储在一个已经未加密的地方,所以这在一定程度上违背了目的。
还请注意,双主DRBD需要一些机制来物理STONITH节点(IPMI设备、联网连接的UPS等)。在没有这种保护措施或配置的情况下,它会工作,但如果有足够的时间,它会扰乱并损坏您的数据。请务必使用STONITH。