Tworzenie szyfrowanego wolumenu
Istnieje możliwość utworzenia szyfrowanego wolumenu w usłudze Atman Cloud. Taki wolumen jest szyfrowany za pomocą specyfikacji LUKS (Linux Unified Key Setup) oraz jest zabezpieczony 256 bitowym kluczem szyfrującym, który jest generowany automatycznie w momencie tworzenia. Aby móc szyfrować wolumeny, musimy posiadać dodatkowe uprawnienia. W tym celu należy skontaktować się z Atman Service Desk servicedesk@atman.pl.
Tworzenie szyfrowanego wolumenu z panelu Horizon
Tworzenie zaszyfrowanego wolumenu z panelu Horizon
Tworzenie wolumenu za pomocą panelu Horizon odbywa się z zakładki Volumes -> Volumes -> Create Volume.
Po naciśnięciu opcji tworzenia wolumenu, musimy wybrać typ (Type) LUKS z odpowiednią liczbą IOPS, tak jak pokazane na obrazku poniżej. Resztę parametrów wybieramy zgodnie z naszymi preferencjami. Należy pamiętać, iż obowiązują nas obostrzenia quoty projektowej.
Tworzenie zaszyfrowanego, systemowego (bootowalnego) wolumenu z wolumenu niezaszyfrowanego
Tworzenie obrazu z niezaszyfrowanego wolumenu
W zakładce Volumes -> Volumes, z wcześniej przygotowanego wolumenu wybieramy opcję Upload to Image
Utworzenie wolumenu szyfrowanego z wcześniej przygotowanego obrazu
W zakładce Compute -> Images, z wcześniej przygotowanego obrazu wybieramy opcję Create Volume. W tym momencie musimy wybrać typ szyfrowany (np. LUKS_2000iops) w polu Type
Utworzenie instancji ze startowym, zaszyfrowanym wolumenem
W zakładce Volumes -> Volumes wybieramy tak przygotowany wolumen, a następnie w opcjach tego wolumenu wybieramy opcję Launch as Instance
Następnie należy odczekać, aż instancja zostanie wykreowana i będzie w stanie Active/Running.
Uwagi i znane problemy związane z szyfrowaniem
Pomimo tego, iż zespół Atman Cloud dba o to, by usługa szyfrowania spełniała wszystkie wymagania klientów, znane są poniższe problemy i ograniczenia:
Tworzenie instancji z zaszyfrowanego wolumenu (punkt opisany powyżej), może zakończyć się tym, iż instancja przejdzie w stan ERROR i nie będzie można z niej korzystać. Aby temu zapobiec należy ponownie wykreować wolumen zaszyfrowany z obrazu i ponowić kreowanie instancji. Konwersja wolumenu niezaszyfrowanego do zaszyfrowanego wolumenu(punkt opisany poniżej, przez tzw. opcję retype) nie działa prawidłowo. Jest to spowodowane bug’iem w funkcjonalności: https://bugs.launchpad.net/nova/+bug/1925818 Z powodu ograniczenia w kooperacji pomiędzy usługą Barbican a Novą (a konkretniej LUKSem), nie ma możliwości podmiany klucza szyfrującego. Taki wolumen należy odszyfrować, sprawdzić czy działa i następnie zaszyfrować ponownie, a potem dołączyć do instancji. Konwersja wolumenu do zaszyfrowanego wolumenu z panelu Horizon(Uwaga: chwilowo funkcja niedostępna)
Niekiedy może pojawić się potrzeba przekonwertowania wolumenu, który do tej pory był niezaszyfrowany, na wolumen zaszyfrowany. Aby wykonać taką konwersję, muszą być spełnione poniższe warunki:
wolumen musi być w statusie Available
użytkownik musi posiadać rolę kreator, która umożliwia kreowanie zaszyfrowanych wolumenów
użytkownik posiada dostęp do zaszyfrowanego typu wolumenu (volume type: encrypted True)
tzw. root wolumen może być zaszyfrowany jedynie przez administratorów Atman Cloud - w wypadku takiej prośby należy się z tym zwrócić poprzez ServiceDesk
Wybór odpowiedniego wolumenu do konwersji
Wybieramy odpowiedni wolumen w zakładce Volumes -> Volumes . Następnie w kolumnie Actions, wybieramy Change Volume Type
Konwersja wolumenu
W nowo otwartym oknie (przykład powyżej) wybieramy odpowiedni typ (Type), adekwatny dla typu zaszyfrowanego. Następnie wybieramy odpowiednie Migration Policy „On Demand” i potwierdzamy przyciskiem Change Volume Type.
Gdy proces zmiany typu zostanie zakończony (operacja jest czasochłonna, może trwać nawet kilka godzin, jeżeli wolumen jest większy niż 1TB), możemy podmontować wolumen do instancji.