ESC HA データレプリケーションの DRBD 暗号化
ESC は DRBD を使用して、HA クラスタ環境のさまざまなノード間でデータレプリケーションを実行します。DRBD は、クラスタノード上の既存のローカルブロックデバイスを介して論理ブロックデバイスを階層化します。
アクティブノードに書き込まれたデータは、下位層のブロックデバイスに転送され、同時にセカンダリノードに伝送されます。現在、ESC は DRBD デバイスを /opt/cisco/esc/esc_database
に直接マウントします。
# df
Filesystem 1K-blocks Used Available Use% Mounted on
devtmpfs 2961760 0 2961760 0% /dev
tmpfs 2972164 4 2972160 1% /dev/shm
tmpfs 2972164 8748 2963416 1% /run
…
tmpfs 594436 0 594436 0% /run/user/1004
/dev/mapper/esc_crypt 3028620 57212 2797848 3% /opt/cisco/esc/esc_database
ブロックデバイスの暗号化では、ブロックデバイスからの書き込み/読み取り時にデータが透過的に暗号化または復号化されます。基盤となるブロックデバイスは、暗号化されたデータのみを認識します。
dm-crypt/LUKS
レイヤによってセキュリティが強化されて、ファイルシステムと DRBD デバイス間で DRBD パーティション内のデータが暗号化されます。LUKS(Linux Unified Key Setup)は、ブロックデバイスの暗号化向けの仕様です。