У меня есть сервер, к которому у меня есть только удаленный доступ. Ранее на этой неделе я переделал 2 дисковых рейда следующим образом:
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/sda1_crypt
363G 1.8G 343G 1% /
tmpfs 2.0G 0 2.0G 0% /lib/init/rw
udev 2.0G 140K 2.0G 1% /dev
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/sda5 461M 26M 412M 6% /boot
/dev/sda7 179G 8.6G 162G 6% /data
Рейд состоит из двух дисков SAS 15k по 300 ГБ.
До внесенных мной изменений он использовался как единый незашифрованный корневой раздел, а hdparm -t / dev / sda давал показания около 240 МБ / с, которые я все равно получу, если сделаю это сейчас:
/dev/sda:
Timing buffered disk reads: 730 MB in 3.00 seconds = 243.06 MB/sec
После передела и шифрования на отдельных разделах получаю следующее:
Незашифрованный / dev / sda7:
/dev/sda7:
Timing buffered disk reads: 540 MB in 3.00 seconds = 179.78 MB/sec
Незашифрованный / dev / sda5:
/dev/sda5:
Timing buffered disk reads: 476 MB in 2.55 seconds = 186.86 MB/sec
Зашифрованный / dev / mapper / sda1_crypt:
/dev/mapper/sda1_crypt:
Timing buffered disk reads: 150 MB in 3.03 seconds = 49.54 MB/sec
Я ожидал падения производительности на зашифрованном разделе, но не так уж сильно, но я не ожидал, что я вообще получу падение производительности на других разделах.
Другое оборудование на сервере:
2 четырехъядерных процессора Intel (R) Xeon (R) E5405 @ 2,00 ГГц и 4 ГБ ОЗУ
$ cat /proc/scsi/scsi
Attached devices:
Host: scsi0 Channel: 00 Id: 32 Lun: 00
Vendor: DP Model: BACKPLANE Rev: 1.05
Type: Enclosure ANSI SCSI revision: 05
Host: scsi0 Channel: 02 Id: 00 Lun: 00
Vendor: DELL Model: PERC 6/i Rev: 1.11
Type: Direct-Access ANSI SCSI revision: 05
Host: scsi1 Channel: 00 Id: 00 Lun: 00
Vendor: HL-DT-ST Model: CD-ROM GCR-8240N Rev: 1.10
Type: CD-ROM ANSI SCSI revision: 05
Я предполагаю, это означает, что на сервере есть RAID-контроллер PERC 6 / i?
Шифрование было выполнено с настройками по умолчанию во время установки debian 6. Я не могу вспомнить точную информацию и не знаю, как мне их найти?
Спасибо
Обновить:
Хорошо, похоже, я вскочил, переразбил и зашифровал, не зная всех деталей. Этот диск действительно нуждается в шифровании.
Теперь я знаю, что разделы должны быть переупорядочены с зашифрованным разделом в конце диска.
Может ли кто-нибудь дать мне совет по схемам шифрования диска, которые имеют хороший баланс производительности и безопасности, или указать мне направление любого проведенного тестирования?
Я немного заглянул в Google, и я не нашел много полезного. Похоже, старые Xeon просто не поддерживают шифрование диска AES.
Я проверил другой сервер с одним процессором Intel (R) Xeon (R) X3430 @ 2,40 ГГц, и они по-прежнему поддерживают 87 МБ / с, используя ту же схему шифрования на типичном одном диске SATA, максимальная скорость которого составляет 107 МБ / с без шифрования.
Я все еще изучаю fio, кажется, все не так просто. Большинство приведенных примеров относятся к произвольному доступу, что мне не нужно. Мне нужна необработанная пропускная способность для больших файлов.
Что ж, по умолчанию Debian использует шифрование AES по умолчанию, чтобы ответить на эту часть вашего вопроса.
И, как предлагает symcbean в своем комментарии, получите подходящий инструмент для тестирования производительности, чтобы измерить падение производительности.
Однако падение скорости чтения с 250 МБ / с до примерно 50 МБ / с не является чем-то необычным. Итак, ответ на ваш вопрос: «Да, это нормально для шифрования разделов ... но используйте более эффективные инструменты для тестирования, чтобы убедиться, что ваши измерения точны».
(И вообще, вы должны дважды подумать о шифровании сервера и убедиться, что у вас есть реальная необходимость, прежде чем навязывать это себе.)
Ну, во-первых, жесткие диски круглые. Первый сектор находится на внешнем крае пластины, а оттуда секторы перемещаются внутрь. При той же скорости вращения участок 1,5 дюйма от центра диска имеет линейную длину 4,71 дюйма. Участок на расстоянии 1 дюйма от центра диска имеет линейную длину 3,14 дюйма. Поскольку скорость вращения диска постоянна, секторы на внешней дорожке могут выполнять линейное считывание быстрее ... между этими двумя примерами дорожек первая будет считываться в 1,5 раза быстрее.
Когда вы разбили диск на разделы, ваши незашифрованные разделы, которые зависят в первую очередь от скорости диска, находятся ближе к концу свободного места на диске. Это делает их медленнее, чем в вашем первом тесте, который проводился в начале поездки.
Между тем, ваш зашифрованный раздел, который в основном зависит от скорости процессора для пропускной способности (функция дешифрования), находится рядом с внешним / стартом и, таким образом, имеет более быстрое чтение с диска, что не имеет значения, потому что функция шифрования медленнее, чем она.
В общем, эти скорости имеют для меня смысл. В случаях, когда у вас есть зашифрованные и незашифрованные разделы, может иметь смысл упорядочить зашифрованные разделы в конце диска.