我有以下要求:
- 我有一个 LVM 卷
A,使用 LUKS 进行密钥加密K1。 - 我需要制作一个写时复制
A快照- 写入
A将继续加密K1 - 写入到快照将在 下加密
K2,这与K1.
- 写入
用例是允许通过删除加密密钥来安全删除快照。
这可能吗?
答案1
不可以,创建 LVM 快照时无法更改 LUKS 加密密钥。
LUKS 不知道 LVM,因此这与克隆分区并期望能够更改加密密钥没有什么不同。
现在轮到你可能如果你翻转 LVM 和 LUKS,就能实现你的目标。这是一个复杂的设置,如下所示:
- 在分区中创建多个 LUKS 容器,当然每个容器都有不同的密钥。
- 创建使用未锁定的 LUKS 容器作为物理卷的 LVM 卷组。
- 创建逻辑卷时,指定要使用哪个物理卷;这将确定哪个 LUKS 密钥用于逻辑卷。
- 创建快照时,指定不同的物理卷;这意味着对此卷的写入将使用不同的 LUKS 密钥进行加密。