如果我正在重建一个加密的 RAID 1,整个阵列均使用 LUKS 加密,如果我解密该阵列以使用它,数据是否仍会被加密,或者阵列重建是否会被解密?
答案1
这看起来像是一种误解,或者可能是不正确的术语。
我假设“使用 LUKS 加密整个阵列的加密 RAID 1”意味着您首先使用物理/dev/sd*
设备构建了 RAID 阵列,创建了阵列设备,然后在物理设备之上设置了 LUKS 加密。阵列设备。也可以采用其他方式(即首先加密多个设备,然后在加密设备之上进行 RAID)。
你不需要解密使用它的数组:你需要打开它。
cryptsetup luksOpen
不会解密磁盘上的数据。它在加密的磁盘/阵列之上添加了一个设备映射器dm-crypt
层,可以解密您从磁盘上动态读取的任何内容,并加密您通过磁盘写入的所有内容。因此,您可以像使用常规的未加密磁盘或阵列一样使用生成的映射设备。磁盘上的数据仍然是加密的。
如果底层磁盘是 RAID 阵列,您只需注意不要将加密层“上方”的任何映射设备与其“下方”的设备混合。这应该不会太困难,因为软件 RAID 1 的工作原理类似:有一个设备映射器raid1
层,其“下方”是组件设备,而“上方”则代表整个阵列的设备。目的是无论“下面”的设备是否完好无损或正在进行重建,阵列设备都可以正常使用。
如果您组合使用 RAID、磁盘加密、LVM 和/或多路径,该dmsetup ls --tree -o blkdevname
命令有助于了解存储配置。
如果您采用其他方式(即在加密层“之上”建立 RAID),那么您需要首先在替换磁盘上重新建立加密层,然后再在其上重建阵列。在这种情况下,可能会意外地忽略替换 RAID 组件设备上的加密层,并让阵列在设备上以未加密的方式重建/dev/sd*
。
答案2
我取决于...如果您在 dm-crypt 块设备上使用软件 RAID,并且新驱动器未进行 dm-crypted,那么您就会遇到问题。据我所知,在任何其他情况下重建都是安全的。