一、qcow2的aes加密

低版本的qemu能够支持对qcow2文件进行aes加密的方式，例如对一个已经存在的磁盘文件test.qcow2，可以将其转换为经过加密的qcow2文件。

qemu-img convert -O qcow2 --object secret,id=sec0,data=123456 -o encryption=on,encrypt.key-secret=sec0 -f qcow2 test.qcow2 fw-encry.qcow2

但是这种方式在现在版本的qemu中已经无法支持了，如果将这个磁盘配置到虚拟机中，启动虚拟机会报出错误，不建议使用这种加密方式。

二、使用luks对磁盘进行加密

创建一个luks的加密磁盘

qemu-img create -f luks fw.luks 1G --object secret,data=123456,id=sec0 -o key-secret=sec0

创建一个密钥配置文件

<secret ephemeral='no' private='yes'>
<description>Super secret name of my first puppy</description>
<usage type='volume'><volume>/home/fw.luks</volume>
</usage>
</secret>

根据配置文件生成密钥uuid文件

virsh secret-define secret.xml

生成密钥

printf %s "123456" | base64

virsh secret-set-value dc057b2b-6a7d-4dba-b76e-37a458448765 $MYSECRET

密钥和密钥uuid文件存放在/etc/libvirt/secrets目录中

修改虚拟机的配置文件

<disk type='file' device='disk'><driver name='qemu' type='raw'/><source file='/home/fw.luks'/><target dev='vdc' bus='virtio'/><encryption format='luks' engine='qemu'><secret type='passphrase' uuid='9ad18f71-2cc4-4e41-a613-15e4ac4fd5fb'/></encryption><address type='pci' domain='0x0000' bus='0x00' slot='0x0a' function='0x0'/>
</disk>

这样启动虚拟机后可以直接使用经过luks加密的磁盘，如果在虚拟机的配置文件中去掉了encryption字段，那么在虚拟机内部将无法直接使用加密磁盘，除非强制进行格式化。