暗号化されたEBSボリュームを使用してEC2インスタンスのLVMパーティションを設定したいと思います。文書によると、暗号化はEC2インスタンスには透過的ですが、LVMボリュームグループに複数の暗号化されたEBSボリュームがあることを心配しています。ボリュームグループに1つの暗号化EBSボリュームで始まり、後でさらにebsボリュームを追加したいとします。動作しますか?それとも、暗号化されていないEBSを使用してLVMの上にLUKSを設定する方が安全ですか?
ベストアンサー1
Linuxの観点からは、EBSボリュームは単なるブロックデバイスであることを考慮すると、実際にLUKSの上にLVMを配置したり、LVMの上にLUKSを配置したりできます。
あなたの懸念は確かに妥当です。 LUKSのLVMは少し複雑です。バラよりdm-crypt/システム全体の暗号化 - LUKSのLVMArchWikiから。
LVMの上でLUKSが実行する作業は簡単です。また、暗号化されていないLVM論理ボリュームと暗号化されたLVM論理ボリュームの両方を持つことができ、EBSボリュームがサポートする物理スコープ(PE)を同じボリュームグループに追加できます。