一、qcow2的aes加密
低版本的qemu能够支持对qcow2文件进行aes加密的方式,例如对一个已经存在的磁盘文件test.qcow2,可以将其转换为经过加密的qcow2文件。
qemu-img convert -O qcow2 --object secret,id=sec0,data=123456 -o encryption=on,encrypt.key-secret=sec0 -f qcow2 test.qcow2 fw-encry.qcow2
但是这种方式在现在版本的qemu中已经无法支持了,如果将这个磁盘配置到虚拟机中,启动虚拟机会报出错误,不建议使用这种加密方式。
二、使用luks对磁盘进行加密
创建一个luks的加密磁盘
qemu-img create -f luks fw.luks 1G --object secret,data=123456,id=sec0 -o key-secret=sec0
创建一个密钥配置文件
<secret ephemeral='no' private='yes'>
<description>Super secret name of my first puppy</description>
<usage type='volume'>
<volume>/home/fw.luks</volume>
</usage>
</secret>根据配置文件生成密钥uuid文件
virsh secret-define secret.xml
生成密钥
printf %s "123456" | base64
virsh secret-set-value dc057b2b-6a7d-4dba-b76e-37a458448765 $MYSECRET
密钥和密钥uuid文件存放在/etc/libvirt/secrets目录中
修改虚拟机的配置文件
<disk type='file' device='disk'>
<driver name='qemu' type='raw'/>
<source file='/home/fw.luks'/>
<target dev='vdc' bus='virtio'/>
<encryption format='luks' engine='qemu'>
<secret type='passphrase' uuid='9ad18f71-2cc4-4e41-a613-15e4ac4fd5fb'/>
</encryption>
<address type='pci' domain='0x0000' bus='0x00' slot='0x0a' function='0x0'/>
</disk>这样启动虚拟机后可以直接使用经过luks加密的磁盘,如果在虚拟机的配置文件中去掉了encryption字段,那么在虚拟机内部将无法直接使用加密磁盘,除非强制进行格式化。
![[StartingPoint][Tier2]Included](https://img-blog.csdnimg.cn/img_convert/38f16309a0218758905767f3d2ad38a9.jpeg)
