アレイ全体がLUKSを使用して暗号化された暗号化されたRAID 1を再構築する場合は、それを使用するためにアレイの暗号化を解除するとデータが暗号化され続けるのですか、それともアレイが復号化された状態に再構築されますか?
ベストアンサー1
これは誤解があるか、間違った用語に見えます。
/dev/sd*「フルアレイにLUKS暗号化を使用した暗号化RAID 1」は、まず物理デバイスとしてRAIDアレイを構築し、アレイデバイスを作成してから物理デバイスの上にLUKS暗号化を設定することを意味します。アレイデバイス。他のアプローチも可能です(つまり、複数のデバイスを最初に暗号化してから暗号化されたデバイス上でRAIDを実行すること)。
あなたは必要ありません復号配列を使用するには、次のものが必要です。開いているそれ。
cryptsetup luksOpenディスクのデータは復号化されません。暗号化されたディスク/アレイの上にデバイスマッパーレイヤーを追加すると、ディスクから動的にdm-crypt読み取られるすべての内容を復号化し、ディスクに書き込むすべての内容を暗号化できます。したがって、結果としてマッピングされたデバイスは、暗号化されていない通常のディスクまたはアレイのように使用できます。ディスク上のデータは暗号化されたままです。
プライマリディスクがRAIDアレイの場合は、暗号化レイヤ「上」のマッピングされたデバイスと暗号レイヤ「下」のデバイスを混在させないように注意してください。ソフトウェアRAID 1も同様に機能するため、これは難しくありません。つまり、raid1コンポーネントデバイス「下」と全体の配列を表す「上」デバイスを持つデバイスマッパー層があります。その目的は、「下の」デバイスが損傷していないか再構成中であるかにかかわらず、アレイデバイスを使用できることです。
このコマンドは、RAID、ディスク暗号化、LVM、および/またはマルチパスの組み合わせを使用している場合にdmsetup ls --tree -o blkdevnameストレージ構成を理解するのに役立ちます。
別の方法で進む場合(たとえば、暗号化レイヤーの「上部」にRAIDを構築する場合)、まず交換用ディスクに暗号化レイヤーをリセットしてからアレイを再構築する必要があります。この状況では、交換RAIDコンポーネントデバイスの暗号化層が誤って無視され、デバイスから暗号化されていない状態でアレイが再構築される可能性があります/dev/sd*。