[done] Ceph und Verschlüsselung
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
[done] Ceph und Verschlüsselung
Ich möchte gerne einen Ceph-Cluster mit Verschlüsslung aufbauen, analog zu cryptsetup einer Partition. Hat dazu schon jemand Erfahrung? Ist das möglich? Wenn ja, wäre es super hier ein paar weiterführende Links zu posten. Vielleicht auch ein paar einleitende (Stich-)Worte um einen Einstieg in das Thema zu bekommen für eine gezielte Suche. Danke.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Re: Ceph und Verschlüsselung
Ich bin gerade selbst am experimentieren mit Ceph, aber bisher ohne Verschlüsselung. Auf welcher Ebene würdest du denn gerne Verschlüsseln? LUKS zwischen der Hardware und dem OSD sollte ja einfach so funktionieren. Für LUKS auf RBD gilt wohl das gleiche, werde es aber bei Gelegenheit mal ausprobieren. Zum Thema Verschlüsselung bzgl. radosgw kann ich nur an TLS denken und für CephFS fällt mir jetzt auf Anhieb nichts ein.
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Ceph und Verschlüsselung
Ich vergass zu schreiben, dass die Server mit Proxmox laufen und darüber Ceph verwaltet wird. Ich kann leider nicht mit cryptsetup arbeiten, da ich in der Ceph-Verwaltung ein Device übergebe, damit ein OSD erstellt werden kann.
Es wird ein Ceph-Cluster aus 3 Hosts mit je 4 Festplatten erstellt. Es muss also ein anderer Ansatz her.
Es wird ein Ceph-Cluster aus 3 Hosts mit je 4 Festplatten erstellt. Es muss also ein anderer Ansatz her.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Ceph und Verschlüsselung
Um das Thema etwas voran zu bringen mal einige (eventuell) passende Links:
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Ceph und Verschlüsselung
Weitere Links zum Thema:
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Ceph und Verschlüsselung
Ich habe mal encryption nach dem hier eingerichtet: http://docs.ceph.com/docs/master/radosgw/encryption/ (Punkt: "Automatic Encryption (for testing only)"). Wir kann man nun am besten testen, ob die Daten auf den Ceph-Festplatten verschlüsselt sind wenn man annimmt, dass ein Node des Clusters (oder im schlimmsten Fall alle) entwendet wurde?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
-
McAldo
- Moderator
- Beiträge: 2064
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: Ceph und Verschlüsselung
So ..., die Sache ist recht einfach. 
Noch ein Link zum Thema: http://docs.ceph.com/docs/luminous/dev/ceph-disk/
Man richtet Proxmox wie gewohnt ein, installiert die Ceph-Pakete (pveceph) und aktiviert die Ceph-Umgebung über die Weboberfläche von Proxmox. Wichtig ist: keine OSD und (noch) keinen Pool anlegen.
Auf Kommandozeile auf dem entsprechenden Server führt man dann für jede Festplatte, die als OSD zur Verfügung stehen soll, folgendes aus:
sdX muss dann entsprechend der eigenen Systemumgebung angepasst werden.
In der Weboberfläche werden dann nach kurzer Zeit die neuen OSDs angezeigt. Nun kann man auch den Pool für das Storage erstellen (Webinterface).
Mittels
werden die verschlüsselten "Ceph-Partitionen" angezeigt:
Noch ein Link zum Thema: http://docs.ceph.com/docs/luminous/dev/ceph-disk/
Man richtet Proxmox wie gewohnt ein, installiert die Ceph-Pakete (pveceph) und aktiviert die Ceph-Umgebung über die Weboberfläche von Proxmox. Wichtig ist: keine OSD und (noch) keinen Pool anlegen.
Auf Kommandozeile auf dem entsprechenden Server führt man dann für jede Festplatte, die als OSD zur Verfügung stehen soll, folgendes aus:
Code: Alles auswählen
ceph-disk prepare --dmcrypt /dev/sdc
ceph-disk prepare --dmcrypt /dev/sdd
...
In der Weboberfläche werden dann nach kurzer Zeit die neuen OSDs angezeigt. Nun kann man auch den Pool für das Storage erstellen (Webinterface).
Mittels
Code: Alles auswählen
ceph-disk list
Code: Alles auswählen
/dev/sdc :
/dev/sdc1 ceph data (dmcrypt LUKS /dev/dm-6), cluster ceph, osd.0, block /dev/sdc2
/dev/sdc2 ceph block (dmcrypt LUKS /dev/dm-5), for /dev/sdc1
/dev/sdc5 ceph lockbox, active, for /dev/sdc1
/dev/sdd :
/dev/sdd1 ceph data (dmcrypt LUKS /dev/dm-8), cluster ceph, osd.1, block /dev/sdd2
/dev/sdd2 ceph block (dmcrypt LUKS /dev/dm-7), for /dev/sdd1
/dev/sdd5 ceph lockbox, active, for /dev/sdd1
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)