Erstellen von LUKS-verschlüsselten Volumes

OpenStack ermöglicht die ruhende Verschlüsselung von Volumes mit LUKS. Auf NWS OpenStack wird die Volume-Typ-Option zur Verschlüsselung im Ruhezustand durch das Suffix -encrypted im Namen einer Storageklasse signalisiert. Weitere Informationen sowie Anleitungen zur Einrichtung verschlüsselter Volumes sind unten aufgeführt.

Wie verschlüsselt OpenStack Volumes?

Wenn man ein verschlüsseltes Volume über die Cloudkonsole oder die OpenStack CLI erstellt, generiert OpenStack automatisch den erforderlichen Verschlüsselungsschlüssel und speichert ihn in Barbican, dem Schlüsselmanager von OpenStack.
Alle LUKS-Verschlüsselungsschlüssel in der NETWAYS Cloud verwenden 256-Bit aes-xts-plain64-Verschlüsselung.

Da Secrets in der NETWAYS Cloud pro Secret abgerechnet werden, verursacht jedes verschlüsselte Volume minimale zusätzliche Kosten (0,40 € pro Secret pro Monat, Stand 06/2026).

Beim Anhängen eines verschlüsselten Volumes an einen Server entschlüsselt OpenStack dieses automatisch im Hintergrund mithilfe des in Barbican gespeicherten Verschlüsselungsschlüssels. Das angehängte Volume kann auf dem Server wie jedes andere (unverschlüsselte) Volume genutzt werden.

Erstellen verschlüsselter Volumes in OpenStack

Verschlüsselte Volumes können entweder über die Cloudkonsole oder über das Terminal mit der OpenStack CLI erstellt werden.

Nutzung der Horizon UI

In der Cloudkonsole wählt man zunächst das richtige Projekt aus und folgt dann diesen Schritten:

1. Navigieren zu Storage > Volumes
2. Auf Create Volume klicken
3. Das Volume konfigurieren
   1. [Optional] Available Zone festlegen
   2. [Erforderlich] Volume-Quelle wählen
   3. [Erforderlich] <storageclass>-encrypted als Volume-Typ festlegen
   4. [Optional] Volume-Größe anpassen
4. Einstellungen bestätigen und das Volume durch Klicken auf Confirm anlegen

OpenStack beginnt nun mit der Erstellung des Volumes, das nach dem Neuladen der Seite unter Storage > Volumes aufgelistet wird.

Nutzung der OpenStack CLI

Zunächst muss die OpenStackRC.sh-Datei geladen und das richtige Projekt ausgewählt werden:

source nws-id-openstack-rc.sh

Authentifizierung testen und Projektliste abrufen ...

Bitte eines der OpenStack-Projekte auswählen:

1) 20631-openstack-04223  3) 5475-openstack-41b6b   5) 5475-openstack-8bdaf   7) 5475-openstack-a169e
2) 5475-openstack-1ccca   4) 5475-openstack-4745f   6) 5475-openstack-9d52e   8) 5475-openstack-c716d
Nummer eingeben: 1
Ausgewähltes Projekt: 20631-openstack-04223

Dann kann ein neues, verschlüsseltes Volume mit folgendem Befehl erstellt werden - der Volumetyp kann hierbei aus den vorhandenen Storageklassen gewählt werden:

openstack volume create \
  --type <type> \
  --size <size> \
  --description <description> \
  --image <image> \
  <name>

Folgende Parameter können übergeben werden:

• <type>: Typ des Volumes, erforderlich
• <size>: Größe des Volumes in GB, erforderlich, falls <image> nicht angegeben wird
• <description>: Beschreibung des Volumes, optional
• <image>: Referenz auf ein Image, falls das Volume auf einem Image basieren soll, optional
• <name>: Name des Volumes, erforderlich

Anhängen verschlüsselter Volumes an Server

Verschlüsselte Volumes können entweder über die Cloudkonsole oder über das Terminal mit der OpenStack CLI an Server angehängt werden, genau wie unverschlüsselte Volumes.

Nutzung der Cloudkonsole

In der OpenStack Horizon UI wählt man das richtige Projekt aus und folgt diesen Schritten:

1. Navigieren zu Compute > Instances
2. Den Server in der Liste identifizieren, an den das Volume angehängt werden soll
3. Das Dropdown-Menü in der Action-Spalte des Servers öffnen
4. Im Abschnitt Related Resources auf Attach Volume klicken und das gewünschte Volume auswählen.
5. Mit einem Klick auf OK bestätigen

Nach wenigen Sekunden sollte das Volume auf dem Server unter /dev/sdX sichtbar sein.

Nutzung der OpenStack CLI

Zunächst muss die OpenStackRC.sh-Datei geladen und das richtige Projekt ausgewählt werden:

source nws-id-openstack-rc.sh

Authentifizierung testen und Projektliste abrufen ...

Bitte eines der OpenStack-Projekte auswählen:

1) 20631-openstack-04223  3) 5475-openstack-41b6b   5) 5475-openstack-8bdaf   7) 5475-openstack-a169e
2) 5475-openstack-1ccca   4) 5475-openstack-4745f   6) 5475-openstack-9d52e   8) 5475-openstack-c716d
Nummer eingeben: 1
Ausgewähltes Projekt: 20631-openstack-04223

Dann kann das Volume mit folgendem Befehl an einen Server angehängt werden:

openstack server add volume <server> <volume>

Folgende Parameter müssen angegeben werden:

• <server>: Name oder UUID des Servers, an den das Volume angehängt werden soll, erforderlich
• <volume>: Name oder UUID des Volumes, das angehängt werden soll, erforderlich

Nach wenigen Sekunden sollte das Volume auf dem Server unter /dev/sdX sichtbar sein.

Weiterführende Links

Weitere detaillierte Anleitungen zur Erstellung und Einbindung verschlüsselter Volumes sowie allgemeine Informationen zu verschlüsselten Volumes in OpenStack sind unter den folgenden Links zu finden:

• NWS-Blogpost: LUKS Encrypted Storage on OpenStack
• OpenStack-Dokumentation: Volume encryption supported by the key manager