+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Proxmox Шифрование, Proxmox Виртуальная Среда

Chris Welber

Guest

02.06.2016 14:14:00

Я пытаюсь выяснить, какие варианты шифрования доступны в Proxmox 4.2.x. У меня уже всё настроено, и мне интересно, какие опции для шифрования томов есть. Если я уже выполнил базовую установку, могу ли я зашифровать том данных после этого? Я также заметил, что установка по умолчанию создала раздел корневой системы размером 100 ГБ, а затем оставшуюся часть диска использовала для создания большого тома данных, это, похоже, произошло автоматически на установочном ISO-диск. У меня есть еще один вопрос: могу ли я использовать зашифрованные тома при настройке кластера между двумя серверами Proxmox и есть ли рекомендуемые минимальные требования к аппаратному обеспечению и коммутаторам (например, рекомендуется 10-гиговый коммутатор и т. д.). Спасибо.

morph027 Guest	#2 0 21.06.2016 13:33:00 Также нативное шифрование ZFS на Linux делает большие шаги вперед: https://github.com/zfsonlinux/zfs/pull/4329

LnxBil Guest	#3 0 21.06.2016 14:24:00 Это действительно хорошая новость. Я потерял интерес к этому месяц назад, но приятно видеть, что функция развивается!

LnxBil

Guest

17.06.2016 20:44:00

Самый простой способ — это полное шифрование диска, которое можно легко осуществить, если сначала установить Debian Jessie, а затем обновить до Proxmox 4.2. Его установщик способен устанавливать систему на полностью зашифрованный диск.

fabian Guest	#5 0 20.06.2016 09:46:00 Я на это взгляну — кажется, интересная функция. Пока никаких обещаний.

Ovidiu

Guest

06.07.2017 16:25:00

Я немного запутался и хотел бы попросить разъяснения. То, что я рассматриваю, это установка Proxmox и использование ZFS, но если я сначала установлю Debian, он установится только на один диск или на программный RAID, но я планирую использовать ZFS для создания стрипированного зеркала. Это как-то возможно?

LnxBil

Guest

06.07.2017 17:33:00

Да, вы правы. Установить обычный Debian на ZFS невозможно и, вероятно, никогда не получится из-за лицензионных проблем со стандартным установщиком Debian. Однако вы можете установить обычный PVE на ZFS, затем установить cryptsetup и настроить систему так, чтобы она загружалась с зашифрованного устройства. После этого загрузите Live Linux, сохраните блочное устройство где-нибудь, зашифруйте раздел, подключите его и восстановите блочное устройство. Затем исправьте crypttab, загрузитесь и скрестите пальцы. Это работает идеально, но требует некоторых настроек и глубоких знаний Linux. Я делал это несколько раз, и лучше всего "накапливать опыт" в виртуальной машине, где вы можете легче вернуться на предыдущие этапы. У меня также есть работающие, полностью зашифрованные системы PVE, установленные внутри PVE, с работающим зашифрованным зеркалированием ZFS, чтобы можно было копировать виртуальные диски на другие физические системы и начать их развертывание. (Да, я знаю о недостатках, связанных с использованием одних и тех же ключей шифрования и т. д.). Если вы хотите иметь root-сервер с полностью зашифрованными дисками, вам нужно обновить initrd, чтобы установить сервер SSH для ввода пароля. Здесь также идет обсуждение этой темы на форумах.

morph027 Guest	#8 0 09.07.2017 10:59:00 https://github.com/zfsonlinux/zfs/wiki/Debian-Jessie-Root-on-ZFS На Stretch вы можете пропустить шаг с бэктпортами...

morph027

Guest

09.07.2017 11:01:00

Но, возможно, будет проще установить PVE на маленький необencrypted диск, а затем зашифровать хранилище, где будут храниться данные и виртуальные машины. У меня будет устройство LUKS для каждого диска, а разблокированные устройства маппера затем будут формировать устройство ZFS, так что это ZFS поверх LUKS.

Ovidiu

Guest

#10

10.07.2017 13:21:00

Хорошо, скажем, у меня есть 5 дисков, я устанавливаю PVE на один диск, затем создаю устройство LUKS для остальных 4 дисков. Смогу ли я затем использовать ZFS, чтобы создать RAID из этих 4 дисков, или я потеряю часть функциональности ZFS, поскольку он не получает доступ к жестким дискам напрямую? Также правильно ли я понимаю, что после перезагрузки мне нужно ввести пароль для расшифровки этого зашифрованного хранилища?

LnxBil

Guest

#11

15.07.2017 01:14:00

К сожалению, отсутствует устойчивость к сбоям. Если вас не смущает немного неподдерживаемая система, просто используйте два небольших раздела для другого программного рейда (например, ZFS на разделах или mdadm) и установите PVE там. У меня есть такая настройка, и она работает отлично. Да, битовое гниение тоже присутствует, как и все остальное. Да, и хранить пароль на сервере, очевидно, не следует

У меня есть обработчик событий Icinga, который мониторит и расшифровывает данные из удаленного места.

gardar Guest	#12 0 26.01.2017 12:20:00 Есть ли планы по внедрению этого? Похоже, что разработка qemu/luks в последнее время довольно активна http://lists.gnu.org/archive/html/qemu-block/2017-01/msg00011.html

fabian Guest	#13 0 26.01.2017 12:32:00 нет конкретных планов (пока).

e100 Guest	#14 0 17.06.2016 20:15:00 Мне бы очень хотелось, чтобы Proxmox поддерживал новый драйвер LUKS в Qemu 2.6. Насколько я понимаю, он работает только с форматом RAW, но в будущем, скорее всего, заработает со всеми форматами. Похоже, все хотят, чтобы данные были зашифрованы "в покое", и это был бы действительно простой способ для людей добиться этого.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры