Las organizaciones que requieren la protección data-at-rest pueden optar por proteger aún más las aplicaciones implementadas en la zona y la información mediante los juegos de datos ZFS cifrados. Para garantizar que todas las zonas no globales se puedan iniciar sin intervención del administrador, los juegos de datos ZFS cifrados se configuran para acceder a las claves de cifrado de ZFS que se almacenan de manera local dentro de la base de datos individual o del dominio de la aplicación.
Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.
Una manera simple de crear la clave requerida consiste en usar comandos similares a estos:
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
Este mismo enfoque se puede usar para cifrar u01 y los juegos de datos comunes, mediante la misma clave (específica de SuperCluster) o mediante una clave única por juego de datos, según los requisitos y las políticas específicas del sitio. En este ejemplo, el juego de datos comunes se crea mediante la misma clave creada en Step 3. Tenga en cuenta que los parámetros de configuración de ZFS adicionales, como la compresión, también se pueden definir durante la creación de estos juegos de datos adicionales.
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01