LUKS + BTRFS + RAID1
Я хотел бы использовать BTRFS RAID1 с dm_crypt на микросервере. Трудная часть, которую я не понимаю много о том, как работают файловые системы и LUKS. Допустим, у нас есть 2 раздела на диске, и мы делаем шифрование всего диска. Означает ли это, что оба раздела будут зашифрованы и не зная ключа, я не смогу сказать, какие у них файловые системы? Если да, то я не понимаю, как можно получить незашифрованный загрузочный раздел (необходимый для загрузки dm_crypt) на таких дисках или как работает btrfs raid1, если я зашифрую оба диска, и они не знают друг от друга, пока оба из них дешифрованы? С другой стороны, если dm_crypt использует разделы btrfs для хранения данных, зашифрованных, например, в огромном файле, то не будет ли сбой btrfs работать с этим огромным файлом и не приведет к какой-либо некорректируемой ошибке для уничтожения всего содержимого дисков ?
3 ответа
Я прочитал несколько текстов в этой теме. По их словам, разделение и форматирование являются отдельными процессами, поэтому мне не нужно указывать тип файловой системы, разделяя блок-устройство (ssd / hdd / virtual?). Dm-crypt может преобразовывать незашифрованное блочное устройство в зашифрованное, зашифровывая каждый блок (или сектор?) Индивидуально, и btrfs могут жить на этом зашифрованном блочном устройстве.
Примечание: dmcrypt + btrfs требуется 4+ для правильной работы ядра; 3.2- ядра имеют проблемы совместимости и безопасности, 4.0-ядра имеют проблемы с производительностью.
Основная проблема с этой настройкой, поскольку с raid1 будет находиться на верхнем уровне, оба hdds / ssds будут зашифрованы по-разному, что означает штраф за производительность и много ненужного шифрования. Согласно другим текстам / ответам, я читал, что сейчас нет способа сделать это. Люди работают над шифрованием btrfs, но пока нет ничего стабильного. В настоящее время сложный подход с ecryptfs - часто задаваемые вопросы btrfs - намного медленнее, чем dm-crypt, поэтому это тоже не было бы хорошим решением. Другой вариант - использовать zfs, который поддерживает шифрование, но afaik. он потребляет много памяти по сравнению с btrfs. Я прочитаю об этой файловой системе ...
Я прочитал несколько текстов в этой теме. По их словам, разделение и форматирование являются отдельными процессами, поэтому мне не нужно указывать тип файловой системы, разделяя блок-устройство (ssd / hdd / virtual?). Dm-crypt может преобразовывать незашифрованное блочное устройство в зашифрованное, зашифровывая каждый блок (или сектор?) Индивидуально, и btrfs могут жить на этом зашифрованном блочном устройстве.
Примечание: dmcrypt + btrfs требуется 4+ для правильной работы ядра; 3.2- ядра имеют проблемы совместимости и безопасности, 4.0-ядра имеют проблемы с производительностью.
Основная проблема с этой настройкой, поскольку с raid1 будет находиться на верхнем уровне, оба hdds / ssds будут зашифрованы по-разному, что означает штраф за производительность и много ненужного шифрования. Согласно другим текстам / ответам, я читал, что сейчас нет способа сделать это. Люди работают над шифрованием btrfs, но пока нет ничего стабильного. В настоящее время сложный подход с ecryptfs - часто задаваемые вопросы btrfs - намного медленнее, чем dm-crypt, поэтому это тоже не было бы хорошим решением. Другой вариант - использовать zfs, который поддерживает шифрование, но afaik. он потребляет много памяти по сравнению с btrfs. Я прочитаю об этой файловой системе ...
Я прочитал несколько текстов в этой теме. По их словам, разделение и форматирование являются отдельными процессами, поэтому мне не нужно указывать тип файловой системы, разделяя блок-устройство (ssd / hdd / virtual?). Dm-crypt может преобразовывать незашифрованное блочное устройство в зашифрованное, зашифровывая каждый блок (или сектор?) Индивидуально, и btrfs могут жить на этом зашифрованном блочном устройстве.
Примечание: dmcrypt + btrfs требуется 4+ для правильной работы ядра; 3.2- ядра имеют проблемы совместимости и безопасности, 4.0-ядра имеют проблемы с производительностью.
Основная проблема с этой настройкой, поскольку с raid1 будет находиться на верхнем уровне, оба hdds / ssds будут зашифрованы по-разному, что означает штраф за производительность и много ненужного шифрования. Согласно другим текстам / ответам, я читал, что сейчас нет способа сделать это. Люди работают над шифрованием btrfs, но пока нет ничего стабильного. В настоящее время сложный подход с ecryptfs - часто задаваемые вопросы btrfs - намного медленнее, чем dm-crypt, поэтому это тоже не было бы хорошим решением. Другой вариант - использовать zfs, который поддерживает шифрование, но afaik. он потребляет много памяти по сравнению с btrfs. Я прочитаю об этой файловой системе ...