如何在 Block Storage Volume 上创建加密文件系统？

首先查看 Droplet 当前可用的磁盘空间。

df -h

你会看到类似以下的输出，具体取决于你的 Droplet 配置：

OutputFilesystem      Size  Used Avail Use% Mounted on
udev            2.0G     0  2.0G   0% /dev
tmpfs           396M  5.6M  390M   2% /run
/dev/vda1        78G  877M   77G   2% /
tmpfs           2.0G     0  2.0G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           2.0G     0  2.0G   0% /sys/fs/cgroup
/dev/vda15      105M  3.4M  101M   4% /boot/efi
tmpfs           396M     0  396M   0% /run/user/1000

目前，/dev/mapper/secure-volume 没有出现在此列表中，因为 Volume 尚未对 Droplet 可用。要使其可用，我们需要创建并挂载文件系统。

使用 mkfs.xfs 工具（make file system，建立文件系统）在 volume 上创建一个 XFS 文件系统。

sudo mkfs.xfs /dev/mapper/secure-volume

文件系统创建完成后，你可以挂载它，这意味着让它对 Droplet 上的操作系统可用。

创建一个 挂载点，这就是文件系统将被挂载的位置。挂载点的推荐位置是在 /mnt 目录下的一个空目录，因此我们将使用 /mnt/secure。

sudo mkdir /mnt/secure

然后挂载文件系统。

sudo mount /dev/mapper/secure-volume /mnt/secure

为了确认操作成功，再次检查 Droplet 的可用磁盘空间。

df -h

现在你会看到 /dev/mapper/secure-volume 被列出。

OutputFilesystem                 Size  Used Avail Use% Mounted on
udev                       2.0G     0  2.0G   0% /dev
tmpfs                      396M  5.6M  390M   2% /run
/dev/vda1                   78G  877M   77G   2% /
tmpfs                      2.0G     0  2.0G   0% /dev/shm
tmpfs                      5.0M     0  5.0M   0% /run/lock
tmpfs                      2.0G     0  2.0G   0% /sys/fs/cgroup
/dev/vda15                 105M  3.4M  101M   4% /boot/efi
tmpfs                      396M     0  396M   0% /run/user/1000
/dev/mapper/secure-volume  100G   33M  100G   1% /mnt/secure

这意味着你的加密文件系统已挂载并可供使用。

当你不再需要访问 Volume 上的数据时，可以卸载文件系统并锁定加密磁盘。

sudo umount /mnt/secure
sudo cryptsetup luksClose secure-volume

你可以使用 df -h 验证文件系统不再可用。要再次访问 Volume 上的数据，你需要执行打开磁盘（cryptsetup luksOpen ...）、创建挂载点并挂载文件系统的步骤。

为了避免每次使用 Volume 时都要手动执行此过程，你可以配置文件系统在 Droplet 启动时自动挂载。

步骤 3 — 在启动时自动挂载文件系统

加密磁盘最多可以有 8 个密码短语。在这最后一步，我们将创建一个密钥并将其添加为密码短语，然后使用该密钥配置 Volume，以便在 Droplet 启动时解密并挂载。

在 /root/.secure_key 创建一个密钥文件。此命令将生成一个包含随机内容的 4 KB 文件：

sudo dd if=/dev/urandom of=/root/.secure-key  bs=1024 count=4

调整此密钥文件的权限，使其仅可被 root 用户读取。

sudo chmod 0400 /root/.secure-key

然后将密钥添加为加密磁盘的密码短语。

cryptsetup luksAddKey /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 /root/.secure-key

系统会提示您输入密码短语。您可以输入创建加密磁盘时设置的那个。

/etc/crypttab 是一个配置文件，用于定义系统启动时要设置的加密磁盘。用 nano 或您喜欢的文本编辑器打开此文件。

sudo nano /etc/crypttab

在文件底部添加以下行，以在启动时映射 Volume。

/etc/crypttab

. . .
secure-volume /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 /root/.secure-key  luks

/etc/crypttab 中行的格式为 device_name device_path key_path options。这里，设备名称为 secure-volume（或您选择的名称），路径为 /dev/disk/by-id/...，密钥文件是我们刚刚在 /root/.secure_key 创建的，选项指定 luks 加密。

保存并关闭文件。

/etc/fstab 是一个用于自动化挂载的配置文件。打开此文件进行编辑。

sudo nano /etc/fstab

在文件底部添加以下行，以在启动时自动挂载磁盘。

/etc/fstab

. . .
/dev/mapper/secure-volume /mnt/secure xfs  defaults,nofail 0 0

/etc/fstab 中行的前三个参数始终为 device_path mount_point file_system_type。这里，我们使用与步骤 2 相同的设备路径和挂载点，并指定 XFS 文件系统。您可以在 fstab 的手册页（man fstab）中阅读其他字段的说明。

保存并关闭文件。现在您的加密文件系统已设置为在 Droplet 启动时自动挂载。您可以通过重启 Droplet 来测试，但要小心任何正在运行的服务。

结论

默认情况下，当 Volume 未附加到 Droplet 时，它们是加密的。在本教程中，您通过在 Volume 上放置加密磁盘中的文件系统，添加了额外的安全层。您可以创建加密磁盘，为其添加密码短语，并在 Droplet 中手动或自动挂载它。

您可以在 Block Storage 入门系列中了解更多关于 Block Storage Volume 的信息。

感谢与 Community 一起学习。请查看我们的计算、存储、网络和管理数据库产品。

了解更多我们的产品