我想使用加密的 EBS 卷为 EC2 实例设置 LVM 分区。根据文档,加密对于 EC2 实例是透明的,但我担心一个 LVM 卷组中存在多个加密的 EBS 卷。假设,我从卷组中的一个加密 EBS 卷开始,并希望稍后添加更多 ebs 卷。会起作用吗?或者使用非加密的 EBS 并在 LVM 之上设置 LUKS 更安全?
答案1
考虑到从 Linux 的角度来看,EBS 卷只是块设备,实际上您可以采用任一方式:LUKS 之上的 LVM 或 LVM 之上的 LUKS。
你的担忧当然是有道理的; LUKS 上的 LVM 有点复杂。看dm-crypt/加密整个系统 - LUKS 上的 LVM在 ArchWiki 中。
LVM 之上的 LUKS 做的事情很简单。此外,它允许您同时拥有未加密和加密的 LVM 逻辑卷,并且您可以将更多由 EBS 卷支持的 PE(物理盘区)添加到同一个卷组中。