No.11 JuiceFS 数据加密功能快速上手

JuiceFS 作为一个分布式文件系统，除了提供核心的存储功能外，也内置了数据加密功能，为数据安全提供了额外的保障。它主要提供两种加密方式：传输中加密（In-Transit Encryption）和静态数据加密（At-Rest Encryption）。本文旨在作为 JuiceFS 数据加密功能的入门指南，帮助你了解这两种加密方式的工作原理和使用方法。

传输中加密（In-Transit Encryption）

传输中加密，顾名思义，就是保护数据在客户端、对象存储和元数据引擎之间传输过程中的安全。它的本质是链路加密，即为数据传输的整个管道进行加密，好比是为运送数据的卡车建立一条专属的、与外界隔离的秘密隧道，确保数据在途中不被窃听或篡-改。

JuiceFS 在实现上完全依赖于标准的加密协议，如 HTTPS 和 TLS/SSL。这意味着，你无需为 JuiceFS 进行任何特殊的加密设置。只要你连接的服务（无论是公有云的对象存储，还是自建的元数据引擎如 Redis）本身启用了加密访问，JuiceFS 就会自动通过这条加密的“秘密隧道”进行通信。因此，传输中加密的安全性是由你所连接的下游服务保证的，配置简单，对用户完全透明。

静态数据加密（At-Rest Encryption）

静态数据加密是指对存储在对象存储中的数据块进行加密。它能够有效防止在对象存储服务本身发生数据泄露时，文件系统中的数据不会因此受到威胁，从而保障文件系统内数据的安全。

基本原理

JuiceFS 的静态加密原理可以理解为一个“双重保险箱”模型：

想象一下，当你要存储一个文件时，JuiceFS 会把它放进一个小保险箱。这个小保险箱有自己独特的、随机生成的一次性钥匙（对称密钥）。

但是，如果直接把这把钥匙和保险箱放在一起，是不安全的。于是，JuiceFS 使用另一个保险箱，以及一把你自己保管的、独一无二的钥匙（RSA 私钥）来锁住小保险箱的钥匙。

最终，存入对象存储的是两样东西：锁住了文件的小保险箱，和被另一个保险箱锁住的“小保险箱钥匙”。

当需要读取文件时，JuiceFS 会先用你手里的钥匙打开第一个保险箱，取出“小保险箱钥匙”，用来打开对应的小保险箱，把文件取出来。

通过这种方式，即使对象存储中的数据被盗，没有你手中的钥匙，谁也也无法打开任何一个保险箱，从而保证了数据的安全。

如何启用静态加密

虽然原理听起来稍显复杂，但实际配置却非常简单直接：你只需额外生成一个 RSA 私钥，并在创建和挂载文件系统时添加特定选项，JuiceFS 就会在后台自动处理所有的加密细节，无需手动干预。

注意：静态数据加密功能必须在创建文件系统时启用，无法为已有的文件系统开启。同样地，一旦启用了加密，也无法再关闭功能。

启用静态加密的过程分为三步：

第一步：创建 RSA 私钥

首先，需要使用 openssl 工具生成一个 RSA 私钥。

openssl genrsa -out my-priv-key.pem -aes256 2048

执行命令时，会要求为私钥设置一个密码（Passphrase）。这个密码用于保护私钥文件本身，需要记牢。

注意：my-priv-key.pem 文件是解密所有数据的唯一凭证，一旦丢失或泄露，将导致数据永久丢失或面临安全风险。请务必妥善保管和备份。

第二步：创建加密的文件系统

创建文件系统时，通过 --encrypt-rsa-key 选项指定上一步生成的私钥文件。同时，需要通过环境变量 JFS_RSA_PASSPHRASE 来提供私钥的密码。

export JFS_RSA_PASSPHRASE='your-passphrase-here'
juicefs format --storage s3 \
  --bucket https://myjfs.s3.us-east-1.amazonaws.com \
  --encrypt-rsa-key my-priv-key.pem \
  "redis://localhost:6379/1" \
  my-secure-fs

在这个过程中，JuiceFS 会对私钥进行加密并存储到元数据引擎中。文件系统格式化成功以后，本地的私钥文件就不再需要了。处于安全性的考虑，建议在确认文件系统创建成功后，立即删除本地的私钥文件。

rm -f my-priv-key.pem

文件系统创建成功以后，可以通过检查状态的命令来查看功能是否成功启用。

juicefs status "redis://localhost:6379/1"

第三步：挂载文件系统

挂载加密的文件系统时，无需特殊参数，只要通过 JFS_RSA_PASSPHRASE 环境变量来提供私钥的密码即可。

export JFS_RSA_PASSPHRASE='your-passphrase-here'
juicefs mount "redis://localhost:6379/1" /mnt/jfs

没有指定密码或密码错误时，挂载会失败并报错。

挂载成功后，即可正常使用，JuiceFS 会在后台自动处理加解密。

当使用完毕，需要卸载文件系统时，强烈建议立即清除环境变量 JFS_RSA_PASSPHRASE，以防止密码泄露。

juicefs umount /mnt/jfs
unset JFS_RSA_PASSPHRASE

注意事项

• 性能影响：启用加密会对性能产生一定影响。AES 对称加密在现代 CPU 上性能损耗较小，但 RSA 非对称加密相对较慢。建议使用 2048 位的 RSA 密钥，更高位数（如 4096 位）的密钥可能会对读取性能造成更明显的影响。
• 缓存数据：JuiceFS 在客户端的缓存数据是未加密的。这些缓存文件默认只有 root 用户或文件所有者有权访问。如果需要对缓存也进行加密，可以考虑将缓存目录设置在一个已加密的块设备或文件系统上。
• 安全模型的权衡：JuiceFS 采用的混合加密方案在算法层面是行业标准，足够安全。但其整体安全性高度依赖于承载私钥的元数据引擎的防护水平，以及用户对私钥和密码的妥善保管。这好比 JuiceFS 提供了一扇顶级的银行金库大门（加密算法），但金库的钥匙（私钥和密码）最终还是交由用户自己保管。因此，保护好元数据服务和私钥凭证，是整个加密体系安全的关键。

安全增强建议

对于追求更高安全标准的用户，可以在 JuiceFS 现有模型的基础上，通过以下措施构建纵深防御体系：

• 使用强密码：在创建 RSA 私钥时，设置足够复杂的 passphrase 密码。
• 强化元数据引擎安全：将存写入了私钥信息的元数据引擎（如 Redis）视为核心资产。务必通过网络隔离（如 VPC、安全组）限制其访问，并为其启用认证和 TLS 加密连接。
• 安全管理私钥密码：避免直接使用 export 命令在环境中暴露密码。更安全的做法是，利用专业的密钥管理服务（如 Google Cloud Secret Manager、HashiCorp Vault、AWS KMS）或容器平台（如 Kubernetes Secrets）来安全地存储和注入密码。
• 加密客户端缓存：JuiceFS 客户端的本地缓存默认不加密。建议将缓存目录设置在一个已加密的磁盘分区上（如使用 LUKS 或 FileVault），实现对缓存数据的静态加密。
• 立即删除或妥善备份私钥：在一台可信的离线设备上生成 RSA 私钥，并将其与密码分开，可以考虑在文件系统创建成功后立即删除，也可以根据审计需要，将其离线备份在安全的地方（如加密 U 盘）。

示例：使用 Google Secret Manager 管理密码

Google Cloud Platform (GCP) 提供了一定的免费 Secret 版本资源，非常适合用来了解云端秘钥管理方法。下面我们将演示如何创建一个独立的脚本，专门负责从 Secret Manager 中安全地获取密码并加载到当前 Shell 会话中。

第一步：创建 Secret 并授予权限

首先，确保你的 GCP 项目已经启用了 Secret Manager API。然后，使用 gcloud 工具创建一个新的 Secret 来存放你的密码。

# 将你的私钥密码通过管道符安全地传递给 gcloud
# 请替换 secret-passphrase 为你的真实密码
echo "your-secret-passphrase" | gcloud secrets create jfs-rsa-passphrase \
    --replication-policy="automatic" \
    --data-file=-

接下来，为需要访问该密码的服务账号（Service Account）授予 Secret Manager Secret Accessor 角色。

# 请将 SERVICE_ACCOUNT_EMAIL 和 GCP_PROJECT_ID 替换为你的实际信息
gcloud secrets add-iam-policy-binding jfs-rsa-passphrase \
    --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
    --role="roles/secretmanager.secretAccessor" \
    --project="GCP_PROJECT_ID"

第二步：创建密码加载脚本

创建一个名为 load-jfs-passphrase.sh 的脚本。它的唯一职责就是连接到 Secret Manager，获取密码，并将其导出为环境变量。

load-jfs-passphrase.sh:

#!/bin/bash
# 该脚本用于从 Google Secret Manager 中获取 JuiceFS 密码并导出为环境变量。
# 请注意：你需要使用 "source" 命令来执行它，才能让环境变量在当前终端生效。
# 正确用法: source ./load-jfs-passphrase.sh

# 设置你的 Secret 名称和 GCP 项目 ID
SECRET_NAME="jfs-rsa-passphrase"
GCP_PROJECT="your-gcp-project-id" # <-- 替换为你的 GCP 项目 ID

echo "Fetching passphrase from Secret Manager..."

# 从 Secret Manager 获取最新版本的密码并导出为环境变量
export JFS_RSA_PASSPHRASE=$(gcloud secrets versions access latest --secret="$SECRET_NAME" --project="$GCP_PROJECT")

# 检查是否成功获取密码
if [ -z "$JFS_RSA_PASSPHRASE" ]; then
    echo "Error: Failed to retrieve passphrase. Unsetting variable."
    unset JFS_RSA_PASSPHRASE
else
    echo "Passphrase loaded into JFS_RSA_PASSPHRASE successfully."
fi

第三步：在挂载时使用脚本

当你需要挂载 JuiceFS 时，不再需要手动 export 密码，而是通过 source 命令执行上面的脚本，然后直接运行挂载命令。

# 1. 使用 source 命令执行脚本，将密码加载到环境中
source ./load-jfs-passphrase.sh

# 2. 正常执行挂载命令
juicefs mount "redis://localhost:6379/1" /mnt/jfs

# 3. (重要) 操作完成后，立即销毁环境变量
unset JFS_RSA_PASSPHRASE
echo "Passphrase has been unset."

通过这种方式，我们将密码的获取和使用清晰地分离开来，读者可以非常方便地将这一安全实践融入到自己现有的部署和管理流程中。

如何更改私钥密码？

JuiceFS 目前不支持直接更改已启用静态加密的文件系统的私钥密码。如果确实需要修改 passphrase 或更换 RSA 密钥，唯一的方法是：

1. 创建新的文件系统
2. 将数据从旧文件系统迁移到新文件系统
3. 废弃旧的文件系统

总结

JuiceFS 通过传输中加密和静态数据加密两种方式，为数据安全提供了保障。虽然启用静态加密会增加一些管理成本（主要是私钥的管理），但在对数据安全有较高要求的场景下，它是一个值得考虑的选项。