需要 data-at-rest 保護的組織可選擇使用加密的 ZFS 資料集,進一步保護區域部署的應用程式和資訊。為確保每個非全域區域都能在沒有管理員介入的情況下啟動,加密的 ZFS 資料集是設定為存取個別的資料庫或應用程式網域內本機儲存的 ZFS 加密金鑰。
請參閱登入運算伺服器並變更預設密碼。
建立所需金鑰的一個簡易方法,是使用類似下列的指令:
# zfs createzfs_pool_name/zfskeystore $ chown root:root /zfs_pool_name/zfskeystore $ chmod 700 /zfs_pool_name/zfskeystore $ pktool genkey keystore=file keytype=aes keylen=256 \ outkey=/zfs_pool_name/zfskeystore/zone_name.key
# zfs create -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zone_name.key \ zfs_pool_name/zone_name
這個方法也可用來加密 u01 和通用資料集,依據網站特定的需求和原則,使用相同的 (SuperCluster 特定的) 金鑰或每一資料集各使用唯一的金鑰。在此範例中,我們使用Step 3 中建立的金鑰來建立通用資料集。請注意,建立這些額外的資料集時,也可以定義額外的 ZFS 組態參數 (如 compression)。
# zfs create -o compression=on -o encryption=aes-256-ccm -o \ keysource=raw,file:///zfs_pool_name/zfskeystore/zone_name.key \zfs_pool_name/u01