Re: Снова о ZFS

To: debian-russian@lists.debian.org
Subject: Re: Снова о ZFS
From: Артём Н. <artiom14@yandex.ru>
Date: Sun, 7 Jan 2018 20:10:28 +0300
Message-id: <[🔎] 68560fad-9331-6eb6-010d-d52deb8fb2e7@yandex.ru>
In-reply-to: <[🔎] 20180107162200.GA86101@stargrave.org>
References: <[🔎] 4d871ef7-95f2-41a4-1f4a-dfb2161e2792@yandex.ru> <[🔎] 20180107162200.GA86101@stargrave.org>

On 07.01.2018 19:22, Sergey Matveev wrote:

*** artiom [2018-01-07 18:51]:

- ZFS более оптимально работает с голым диском (делает ioctl, определяет
диск ли это, если результат вызова положительный, выставляет оптимальные
для себя параметры работы). Будет ли работать ZFS также оптимально через
различные слои, в частности LUKS или gely?


С голым диском работает без проблем. Но возможно надо будет указывать
ashift параметр: http://www.open-zfs.org/wiki/Performance_tuning#Alignment_Shift_.28ashift.29
для дисков с 4KB размером блока.

Это очевидно.
Вопрос был в том, как она работает не с "голым диском"?

Где то я видел что иногда ZFS не справляется с автоматическим
нахождением всех членов пула если диски переименовываются (был sda, стал
sdb, итд). И давали совет всегда делать ZFS поверх хотя бы GPT раздела с
label-ом. Этот label очевидно при смене контроллера/диска/backplane не
будет меняться, в отличии от имени диска. Кроме того, GPT ещё и от
необходимости ashift избавит.

Не будет менять контроллер (это смена платы, потому что он встроен), ни имя диска (диски в корзине).

ZFS раздел в начале имеет немного зарезервированного места в которое
например можно засунуть загрузчик ОС. FreeBSD например может быть
полностью установлена на диск без каких-либо MBR/GPT на чисто ZFS диск.
https://www.unix.com/man-page/freebsd/8/zfsboot/

Имеет ли смысл? Я планировал установку на SSD. Т.к., SSD достаточно большой, там же хочу держать кэш/журналы ZFS, значит требуется два раздела минимум.

Насчёт ZFS поверх LUKS слышал что люди делают и проблем не было. Сам я
использую ZFS поверх GELI -- тоже проблем нет. Более того, GELI даже
TRIM-ы "пробрасывает" наверх по-умолчанию, так что SSD-GELI-ZFS
всё-равно будет с TRIM-ом.

Ладно trim, пробрасывается ли другие специфичные ioctl к диску или это будет ioctl к geli?

- Если нет, то насколько стабильно, надёжно, изучено шифрование ZFS (по
сравнению с вышеназванными)? Выполняется ли полнодисковое шифрование или
это шифрование пофайловое (+метаданные)? Есть ли защита от cold boot
attack (как в Linux ZFS, так и в BSD ZFS)?


Родное шифрование сделано вроде бы грамотно, но оно не полнодисковое.
Только часть метаинформации и данные шифруются и аутентифицируются.
Плюсы родного шифрования: scrub, resilver, send/recv будут работать без
предоставления ключа, тогда как с LUKS/GELI, не "открыв" ключом диск,
нельзя будет сделать ничего.

В смысле "без предоставления ключа"? Имеется ввиду, что он хранится глобально?
Я пока не задумывался, как будет делать хот-своп для шифрованного диска, но возможно это будет сделать через udev (или аналогичную систему во FreeBSD).
Т.е., если система работает, ничто не мешает мне проверить наличие шифрования с данным ключом у воткнутого диска.
Если диск не шифрован, я просто создам шифрованный раздел, используя известный "ключ".

Насчёт cold boot защиты не в курсе касательно ZFS.

В Linux есть патч, переводящий ключи LUKS в регистры.

Reply to:

Follow-Ups:
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>

References:
- Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>

Prev by Date: Re: Снова о ZFS
Next by Date: Re: Сканер
Previous by thread: Re: Снова о ZFS
Next by thread: Re: Снова о ZFS
Index(es):
- Date
- Thread