需要静态数据保护的组织可以选择使用加密的 ZFS 数据集来进一步保护区域部署的应用程序和信息。要确保每个非全局区域都能在没有管理员介入的情况下启动,应将加密的 ZFS 数据集配置为访问在各个数据库或应用程序域中本地存储的 ZFS 加密密钥。
请参见登录到计算服务器并更改默认密码。
创建所需密钥的一种简单方法是使用类似于以下条目的命令:
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
可以采用同样的方法对 u01 和通用数据集进行加密,使用相同的(特定于 SuperCluster)密钥或每个数据集的唯一密钥,具体取决于特定于站点的要求和策略。在本示例中,创建通用数据集所使用的密钥与在Step 3 中创建的密钥相同。请注意,在创建这些额外数据集的过程中,也可以定义额外的 ZFS 配置参数,例如压缩。
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01