Назад | Перейти на главную страницу

LUKS-шифрование на каком уровне?

Опция 1: Раздел Linux -> LUKS -> LVM

Вариант 2: Раздел Linux -> LVM -> LUKS

Какой стек лучше с точки зрения загрузки системы?

Предыстория: на моем сервере Linux (процессор AMD Opteron 6338P, контроллер LSI 3ware SAS / SATA-RAID с двумя жесткими дисками 4 ТБ в RAID 1, 64 ГБ ОЗУ), на котором работает несколько контейнеров LXC, к сожалению, есть зависимости ввода-вывода. задержка между этими контейнерами. Я хотел бы как можно больше уменьшить это нежелательное влияние с помощью оптимальной компоновки системы. Поскольку у меня есть «выделенный сервер» от хостинг-провайдера, я не могу изменить / оптимизировать конфигурацию оборудования.

Хотя ваш сервер, похоже, не предоставляет места для оптимизации оборудования, я бы выбрал вариант 2 (Linux Partition => LVM => LUKS) вместо Option1 (Linux Partition -> LUKS -> LVM) для большей гибкости. Например:

  • В Option2 вы сможете привязать один или несколько LV к контейнеру и установить парольные фразы, ключевые файлы и другие параметры LUKS, такие как шифр и тип устройства, которые будут уникальными для контейнера. В Варианте 1 вы также сможете привязать один или несколько LV к контейнеру, однако все LV неизбежно будут иметь одни и те же параметры, и, например, вы не сможете установить более сильный шифр для одного контейнера и более слабый шифр. по другому.

  • В Варианте 2 вы сможете создавать незашифрованные LV помимо зашифрованных, если это необходимо из соображений производительности. В Варианте 1 вы не сможете сделать это, не создав новую группу томов с другими PV.

  • В варианте 2 повреждение заголовка LUKS приведет к потере только одного логического тома. В Варианте 1 повреждение заголовка LUKS приведет к потере всей группы томов.

  • В варианте 2, если бы вы могли подключить твердотельные диски к серверу, было бы проще настроить lvmcache (7) в существующей группе томов, и вы можете выбрать отдельные LV для кеширования.

Я предполагаю, что оба варианта покажут одинаковую производительность.