qemu-libvirt-磁盘加密

qemu提供了磁盘加密的功能。本文介绍如何给磁盘加密，以及如何使用加密后的磁盘。

1.给磁盘加密

# qemu-img convert -f qcow2 -O qcow2 -o encryption template.img encry.qcow2

Disk image 'encry.qcow2' is encrypted.

password: //这里输入密码 123456

2.在本地创建一个秘钥xml

# vi secret.xml

<secret ephemeral='no' private='yes'>

<uuid>7d195d98-6a06-4bb9-a0e9-6a2fde302f31</uuid>

</secret>

注：uuid项可以没有，那么将随机生成一个uuid

3.定义一个libvirt的secret

# virsh secret-define secret.xml

Secret 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 created

4.给secret设置密码值（这里的密码就是给磁盘加密时使用的密码123456）

# virsh secret-set-value 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 $MYSECRET

Secret value set

注：密值是base64的（MYSECRET=`printf %s "123456" | base64`）

注：产生的secret以及密码在/etc/libvirt/secrets/中存在

5.在虚拟机xml文件的disk段中加入secret

<encryption format='qcow'>

<secret type='passphrase' uuid='7d195d98-6a06-4bb9-a0e9-6a2fde302f31'/>

</encryption>

6.启动虚拟机。虚拟启动后就是使用的加密的磁盘。

7.磁盘加密虚拟机的迁移

在迁移之前要在远程libvirt建立相同的secret。远程建立secret的方式有两种：使用libvrit远程rpc的方式执行secret-define和secret-set-value ，或者直接在目标主机上执行上述过程。

关注本公众号，了解更多关于云计算虚拟化的知识。