保存データを保護する必要がある組織は、暗号化された ZFS データセットを使用することで、ゾーン配備されたアプリケーションおよび情報がさらに保護されるように選択できます。管理者の介入なしで各非大域ゾーンを起動できるようにするために、個々のデータベースまたはアプリケーションドメイン内でローカルに格納されている ZFS 暗号化鍵にアクセスするように、暗号化された ZFS データセットが構成されています。
計算サーバーへのログインとデフォルトパスワードの変更を参照してください。
必要な鍵を作成するための簡単な方法は、次のようなコマンドを使用する方法です。
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
このように同じアプローチを使用すると、サイト固有の要件およびポリシーに応じて、同じ (SuperCluster 固有の) 鍵とデータセットごとに一意の鍵のいずれかを使用して、u01 および共通データセットを暗号化できます。この例では、Step 3で作成されたものと同じ鍵を使用して、共通データセットが作成されています。追加の ZFS 構成パラメータ (compression など) は、これらの追加データセットの作成時にも定義できます。
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01