PHYSICAL DISK -> RAID -> LUKS -> LVM -> FILE SYSTEM
第一步:卸载并清除旧配置
我们需要先卸载挂载点,并移除现有的 LVM 逻辑卷,释放 /dev/md127。
Bash
# 1. 卸载 /vol2
sudo umount /vol2
# 2. 查找当前的 Volume Group (VG) 名称
# 从你的 lsblk 看,名称很长,通常可以用 vgs 命令确认
sudo vgs
# 3. 删除旧的逻辑卷和卷组 (将 <vg_name> 替换为上一步看到的名称,类似 trim_27b5d...)
# 注意:这一步会删除数据!
sudo vgremove <vg_name>
# 4. 移除物理卷标签,使 RAID 设备变回纯净状态
sudo pvremove /dev/md127第二步:创建 LUKS 加密容器
现在我们将在 /dev/md127 上建立加密层。
Bash
# 1. 格式化为 LUKS (需要输入大写的 YES 和两次密码)
sudo cryptsetup luksFormat /dev/md127
# 2. 打开加密容器
# "crypt_vol2" 是映射名称,你可以随意取,但后续步骤要保持一致
sudo cryptsetup open /dev/md127 crypt_vol2第三步:在加密层上重建 LVM
现在 /dev/mapper/crypt_vol2 是我们的解密后设备,我们在这里建立 LVM。
Bash
# 1. 创建物理卷 (PV)
sudo pvcreate /dev/mapper/crypt_vol2
# 2. 创建卷组 (VG),命名为 vg_vol2
sudo vgcreate vg_vol2 /dev/mapper/crypt_vol2
# 3. 创建逻辑卷 (LV),使用全部可用空间,命名为 lv_data
sudo lvcreate -l 100%FREE -n lv_data vg_vol2
# 4. 格式化文件系统 (推荐 ext4 或 xfs)
sudo mkfs.ext4 /dev/vg_vol2/lv_data第四步:挂载并验证
Bash
# 1. 重新挂载
sudo mount /dev/vg_vol2/lv_data /vol2
# 2. 检查状态
df -h /vol2
lsblk第五步:设置开机自动挂载 (重要)
为了防止重启后失效,需要配置 /etc/crypttab 和 /etc/fstab。
1. 获取 UUID 执行以下命令,记下 /dev/md127 的 UUID (TYPE="crypto_LUKS" 那一行):
Bash
sudo blkid /dev/md1272. 编辑 /etc/crypttab 添加下面一行(将 Running_UUID 替换为上面获取的实际 UUID):
Plaintext
crypt_vol2 UUID=Running_UUID none luks(注意:这会导致开机时询问密码。如果需要自动解锁,需要配置密钥文件 keyfile)
3. 编辑 /etc/fstab 添加下面一行:
Plaintext
(注意,这里要考虑到不影响系统启动,例如加一个nofail的)
/dev/vg_vol2/lv_data /vol2 ext4 defaults 0 2现在 /vol2 就是一个底层运行在 RAID 10 上的全盘加密卷了。