使用Luks2對Ceph Rbd進行加密,你會了嗎?
背景
多個行業(例如金融行業)越來越需要在主機上使用租戶/用戶提供的加密密鑰以卷粒度加密數據。這是由國家法規和對安全性的日益重視所推動的。迄今為止,Ceph RBD 不提供任何此類解決方案,現有的替代方案是在 libRBD 之前添加一個加密層。此類解決方案的示例是使用 QEMU LUKS 加密或依賴 DM-Crypt。但是,在與 RBD 層中實現的存儲功能接口時,使用 RBD 之上的加密層有局限性。當我們進行鏡像克隆時,只有在父子節點使用相同的加密密鑰加密時才會起作用。通過將加密向下移動到 libRBD,就可以靈活地使用 Ceph RBD 克隆了。
關于luks加密
還是再介紹下luks吧,雖然上篇文章已經介紹過,但還是沒有刨根問底。LUKS 有兩個版本,LUKS2 具有對標頭損壞的彈性等功能,并且默認使用Argon2加密算法,而 LUKS1 使用PBKDF2。LUKS2支持4KB 加密塊大小,而QEMU 中的luks1加密以加密單元扇區為 512 字節的加密塊粒度工作,效率較低。目前libvirt只支持luks1和luks2格式的磁盤加密,從qemu4.5版本開始已經不支持qcow的磁盤加密。
加密標簽支持可選的引擎標簽,當前定義的引擎值是qemu和librbd。qemu和librbd都 需要使用 qemu 驅動程序。librbd引擎要求qemu版本>=6.1.0, ceph集群和librbd1>=16.1.0,僅適用于RBD network disk。如果未指定引擎標簽,則默認使用qemu引擎。luks2格式目前只有librbd引擎支持,只能應用于RBD network disk(RBD鏡像)。
我們現在使用的是Ubuntu20.04系統,對應的qemu版本為4.2,libvirt版本為6.0版本,這個版本只能使用luks格式加密,如果想要使用luks2格式進行加密,那就必須把qemu版本升級至6.1以上,libvirt版本升級至7.9以上,升級目前只能通過編譯升級,但是很可惜,沒升級成功,不過Ubuntu22.04的libvirt版本是8.0,qemu版本是6.2,這里我安裝了一個Ubuntu22.04的系統對rbd鏡像加密進行驗證。
# virsh version
Compiled against library: libvirt 8.0.0
Using library: libvirt 8.0.0
Using API: QEMU 8.0.0
Running hypervisor: QEMU 6.2.0
查閱libvirt版本列表,發現從2021.11.1發布的7.9版本開始支持librbd加密引擎。
加密格式
默認情況下,RBD 圖像不會加密。要加密 RBD 鏡像,需要將其格式化為受支持的加密格式之一(luks1或者luks2)。格式化操作會將加密的元數據寫到rbd鏡像中。加密元數據通常包括加密格式和版本、密碼算法和模式規范等信息,以及用于保護加密密鑰的信息。
目前只能格式化圖像。加密圖像的克隆本質上使用相同的格式和密碼進行加密。在格式化之前寫入圖像的任何數據都可能變得不可讀,盡管它仍可能占用存儲資源。目前,僅支持 AES-128 和 AES-256 加密算法。此外,xts-plain64 是目前唯一支持的加密模式。
不過可以導入在 RBD 之外的現有 LUKS 鏡像。
使用luks2格式對rbd鏡像加密
使用luks對ceph rbd加密我就不介紹了,上篇文章已經介紹過了,這里介紹使用luks2對rbd進行加密
格式化鏡像
rbd encryption format {pool-name}/{image-name} {luks1|luks2} {passphrase-file} [–cipher-alg {aes-128 | aes-256}]
例如
root@node1:/yyds# rbd encryption format libvirt-pool/288 luks2 passphrase-file
root@node1:/yyds# cat passphrase-file
123456
加密格式操作生成一個 LUKS 頭并將其寫入圖像的開頭。標頭附加了一個包含隨機生成的加密密鑰的密鑰槽,并受從 passphrase-file讀取的密碼保護。默認情況下,將使用 xts-plain64 模式下的 AES-256,格式化操作也允許選擇 AES-128。
定義secret
# vim secret.xml
<secret ephemeral='no' private='yes'>
<uuid>548dff81-a251-4702-90c0-0fc7d0c7754e</uuid>
</secret>
# virsh secret-define luks-secret.xml
Secret 548dff81-a251-4702-90c0-0fc7d0c7754e created
設置密碼
virsh secret-set-value 548dff81-a251-4702-90c0-0fc7d0c7754e --interactive
#下面輸入磁盤加密的密碼,要與上面格式化鏡像的密碼相同
Enter new value for secret:
Secret value set
編輯虛擬機disk字段,添加encryption
<disk type='network' device='disk'>
<driver name='qemu' type='raw'/>
<auth username='libvirt'>
<secret type='ceph' uuid='0b7e7ce4-15bb-48a9-8106-c9ec1d7681a0'/>
</auth>
<source protocol='rbd' name='libvirt-pool/288'>
<host name='node1' port='6789'/>
<host name='node2' port='6789'/>
<host name='node3' port='6789'/>
</source>
<target dev='vdc' bus='virtio'/>
<encryption format='luks2' engine='librbd'>
<secret type='passphrase' uuid='548dff81-a251-4702-90c0-0fc7d0c7754e'/>
</encryption>
<address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x1'/>
</disk>
啟動虛擬機
virsh start vm
加密rbd鏡像克隆后子鏡像掛載
root@node1:~# rbd snap create libvirt-pool/288@snapshot_61
Creating snap: 100% complete...done.
root@node1:~# rbd snap protect libvirt-pool/288@snapshot_61
root@node1:~# rbd clone libvirt-pool/288@snapshot_61 libvirt-pool/388
root@node1:~# rbd info libvirt-pool/388
rbd image '388':
size 100 GiB in 25600 objects
order 22 (4 MiB objects)
snapshot_count: 0
id: 2c2aea7815e969
block_name_prefix: rbd_data.2c2aea7815e969
format: 2
features: layering, exclusive-lock, object-map, fast-diff, deep-flatten
op_features:
flags:
create_timestamp: Wed Jun 1 08:56:37 2022
access_timestamp: Wed Jun 1 08:56:37 2022
modify_timestamp: Wed Jun 1 08:56:37 2022
parent: libvirt-pool/288@snapshot_61
overlap: 100 GiB
這里我將鏡像名稱換成克隆后的388,encryption字段去掉,發現不能掛載了,克隆的子鏡像說明也是加密的。
克隆的鏡像不支持luks加密
root@node1:~# rbd encryption format libvirt-pool/388 luks2 passphrase-file
rbd: encryption format error: 2022-06-01T06:39:32.691+0000 7fc65aba7340 -1 librbd::api::Image: encryption_format: cannot format a cloned image
(95) Operation not supported
