Я хочу использовать четырехъядерный Xeon-сервер 2010 года выпуска для периодического шифрования дисков eSATA емкостью 500 ГБ. У меня три вопроса:
1) Я предполагаю, что текущая версия WDE полностью многопоточная, а пропускная способность примерно линейно зависит от количества ядер?
2) Могу ли я ограничить количество ядер, используемых процессом WDE, чтобы не влиять на другую работу на сервере?
3) Примерно сколько времени займет каждое шифрование?
Похоже, что существует противоречивая информация о потоковой передаче WDE, даже на сайте PGP KB, где я также задал этот вопрос (хотя он почти мертв), поскольку многие старые ответы указывают, что он не предлагается.
Предполагая, что ваши диски eSATA могут обеспечивать скорость, близкую к стандартной скорости SATA, и вы используете диски со скоростью 7200 об / мин, мы рассчитываем поддерживать скорость около 80-100 МБ / с на всем диске в идеальных условиях.
У меня нет никаких подробностей о PGP, но тесты скорости шифрования AES в диапазоне 100-150 МБ / с на ядро для процессоров эпохи 2008 года (3Ghz Core Duo) довольно легко найти [например, этот комментарий слэшдота с указанием 600-700 МГц Pentium M с частотой 2,13 ГГц для обработки 30 МБ / с], и я видел аналогичные скорости для гораздо более старых процессоров, поэтому я беру это как базовый уровень. Учитывая, что вы используете значительно лучшие процессоры, чем те, я не сомневаюсь, что одно ядро на вашем сервере легко справится с максимальной пропускной способностью одного диска eSATA.
PGP WDE основан на блоках, что должно помочь достичь такой скорости преобразования, но насколько это действительно так, полностью зависит от того, как они его реализуют, и я не знаю, хорошо ли они это сделали. В любом случае лучший результат, который вы могли бы получить, - это полное чтение диска со скоростью в среднем 100 МБ / с (последовательное чтение блок за блоком), а затем полная запись диска (последовательная запись блок за блоком). Для диска 500 ГБ это будет 1000 секунд или около 17 минут. Это не приведет к перегрузке одного ядра на вашем сервере, даже с учетом накладных расходов ЦП для ввода-вывода диска.
Баланс вероятности состоит в том, что алгоритм преобразования PGP WDE не обрабатывает ввод-вывод так эффективно, как я предполагал выше, поэтому время, необходимое для шифрования диска, будет значительно больше - вам нужно будет проверить его, чтобы быть уверенным, но я не удивлюсь, если это было на порядок медленнее, и накладные расходы ЦП для задач шифрования также будут пропорционально ниже.
И последнее замечание, если вы используете ЦП класса Westmere (Xeon 56xx), тогда PGP WDE поддерживает новые инструкции AES-NI это должно обеспечить повышение производительности более чем на 50% в реальном мире - см. Статья Toms Hardware, в которой показаны преимущества Bitlocker. но польза от PGP WDE должна быть не хуже.
Отредактировано для добавления:
Мне кажется, что я не совсем понял сказанное выше - многопоточность не поможет вам в преобразовании одного диска. Это может немного помочь, если вы планируете запускать несколько дисков параллельно, но если у вас нет оборудования, которое может обрабатывать множество дисков одновременно, ограничения ввода-вывода дисков будут значительно более узким местом, чем загрузка ЦП. Анекдотические свидетельства в сети [ Вот и Вот например] скорость преобразования колеблется от 25 до 50 ГБ в час - я бы ожидал, что приличный диск eSATA будет быстрее, чем эти примеры, но кажется маловероятным, что это будет намного лучше, чем 100 ГБ в час.
Наконец, есть очень хорошее обсуждение накладных расходов процессора на шифрование диска в целом в комментариях к этому Сообщение в блоге PGP это подтверждает, что центральный процессор не является основным узким местом, а задержки чтения \ записи являются основной проблемой.
Несколько очевидных поисков в Google не дали однозначных ответов на ваши вопросы об этом конкретном продукте, поэтому вот приблизительная оценка:
1) Не знаю, является ли PGP многопоточным, но если это так, вы должны ожидать увеличения обработки на 50-80% на дополнительное ядро / процессор. Четыре ядра дают 400% производительности только для некоторых очень и очень специфических рабочих нагрузок - и ожидание данных с диска, которые необходимо записать обратно, не входит в их число.
2) Диспетчер задач позволяет вам устанавливать приоритеты ЦП для запущенных процессов, так что это хотя бы один вариант.
3) Я очень подозреваю, что накладных расходов будет очень мало. Любой новейший процессор Xeon может выполнять шифрование быстрее, чем некоторые случайные механические диски могут записывать через USB 2.0. Какой именно процессор? Здесь вы можете увидеть, какие из них имеют аппаратную поддержку шифрования (AES-NI):
Если вы можете сменить инструменты, взгляните на Truecrypt
1) Truecrypt сильно распараллелен и масштабируется примерно линейно.
2) Вы можете указать количество используемых ядер
3) Что касается скорости, она будет зависеть от того, как вы подключаете диск, количества ядер, которые вы можете сэкономить, используемых алгоритмов шифрования и т. Д. Учитывая имеющееся у вас оборудование, диск io, вероятно, будет узким местом, даже при подключении sata. Но загрузите его и запустите тест, или зашифруйте диск и убедитесь в этом сами. (Есть портативный режим, поэтому вам даже не нужно его устанавливать).