Fragen zu GELI

-Nuke-

-Nuke-

Well-Known Member
Heyho,

ich hab mit dem Gedanken gespielt mein RAIDZ2 nachzuverschlüsseln. Jedoch noch ein paar Fragen dazu.

1.) Kann man irgendwie vorher testen wie hoch der Performance-Einbruch ist? Ich habe 8 Platten und vermute, dass die CPU ( i3 2.9 Ghz ) da überfordert sein könnte, da FreeBSD ja die Hardware-Verschlüsselung deaktiviert hat (GELI sagt Software).

2.) Ich will nicht die Boot-Platten verschlüsseln. Finde aber nur Tutorials wo genau das gemacht wird. Dort muss man dann ja mit der loader.conf rumspielen. Im FreeBSD Handbuch ( https://www.freebsd.org/doc/handbook/disks-encrypting.html ) steht folgendes, für die rc.conf
Code: 
geli_devices="da2"
geli_da2_flags="-k /root/da2.key"
Dazu drei Fragen: Geht das auch wenn man mit gpt-labels arbeiten möchte? Wie würde die geli_*_flags Zeile aussehen? Muss man die geli_*_flags Zeile für jedes Device angeben?

3.) Kann man die GELI Hardwareverschlüsselung vielleicht wieder aktivieren? Ich bin da nicht allzu paranoid, es geht mir mehr darum, dass bei einem Festplattentausch keine teilweise Restdaten zu finden sind.

Danke :)
 
Frage 1 ist doch damit auch beantwortet ;)

Nachverschlüsseln ist nicht der normale Weg...dh. man verschlüsselt erst jede Platte und setzt dann aus den geli-devices das ZFS auf.
 
mr44er schrieb:
Frage 1 ist doch damit auch beantwortet ;)
Zum Vergrößern anklicken....

Naja, die zu erwartende Performance ist damit nicht so ganz geklärt :D Ich hab keine Ahnung wie viel Durchsatz die AESNI Instruktion im i3 hat.

mr44er schrieb:
Nachverschlüsseln ist nicht der normale Weg...dh. man verschlüsselt erst jede Platte und setzt dann aus den geli-devices das ZFS auf.
Zum Vergrößern anklicken....

Klar, wäre halt im meinem Fall 8 mal resilvern. Aber ich weiß nicht wo ich die 15TB Daten mal eben parken soll um das anders zu machen ;)

Vermutlich kommt erst Ende des Jahres ein weiteres RAIDZ2 dazu zur Erweiterung.
 
Unmerklich...wem die Verschlüsselung wichtiger ist, sollte nicht auf Performance achten. ;) Ich resilvere grade auf verschlüsselten Platten: 326G scanned out of 5.10T at 279M/s, 4h59m to go

CPU: AMD A4-5300 APU with Radeon(tm) HD Graphics (3417.07-MHz K8-class CPU) <- aes-ni ist dabei und das ist nur ein 2kerner!

Ich hab noch das Glück, dass ich meinen Datenbestand auf aktuelle Platten zwischenspeichern könnte. :D

Du kannst doch trotzdem auf nach und nach deine adas mit eli-devs austauschen im pool. Mir wärs aber zu heikel. ;)

Im Zweifel die gleichen Platten nochmal kaufen, auf Zweitrechner schieben und dann wieder zurück. Hat den Vorteil, dass du genügend Ersatzplatten bei Ausfällen zur Hand hast. :D
 
mr44er schrieb:
Unmerklich...wem die Verschlüsselung wichtiger ist, sollte nicht auf Performance achten. ;) Ich resilvere grade auf verschlüsselten Platten: 326G scanned out of 5.10T at 279M/s, 4h59m to go
Zum Vergrößern anklicken....

Die Verschlüsselung wäre jetzt echt nur nice-to-have. Ich habe nicht vor irgendwelchen Behörden auffällig zu werden, als dass das essentiell werden würde.

mr44er schrieb:
Du kannst doch trotzdem auf nach und nach deine adas mit eli-devs austauschen im pool. Mir wärs aber zu heikel. ;)
Zum Vergrößern anklicken....

Ist ja nicht umsonst ein RAIDZ2. Redundanz wäre damit ja immern och auf RAIDZ1 Niveau.

mr44er schrieb:
Im Zweifel die gleichen Platten nochmal kaufen, auf Zweitrechner schieben und dann wieder zurück. Hat den Vorteil, dass du genügend Ersatzplatten bei Ausfällen zur Hand hast. :D
Zum Vergrößern anklicken....

Naja.... erstens habe ich gerade keine 1400 EUR für 8 weitere Platten und zweitens könnte ich die auch nirgendwo sonst einbauen. Also Daten irgendwo anders parken ist keine Option.
 
Dann wirds auf nach und nach rauslaufen! Kannst ja mal schreiben, wie fix die Geschichte durch war. :)
 
Hallo,

ich habe meinen Pool mehrfach komplett resilvert weil ich vergessen hatte die Platten mit gptid anzusprechen und das ging ohne Probleme, beim umstellen auf Geli kann sein das es nicht funktioniert weil die Partition nach geli kleiner ist.

Gruß ré
 
Ich habe die Partitionen auf 4000000... Byte gesetzt, damit sie genau die 4 "non-binary" TB haben. Somit ist das kein Problem. Jede Platte hat noch mehrere hundert MB Platz "nach hinten raus".

Zur Frage 1 habe ich noch gefunden, dass man wohl geom_zero nutzen kann, um die Performance zu testen. Einige sagen wohl was von 1,4GB/s von einem i3. Ich muss das mal bei Gelegenheit selbst testen.

Zur Frage 2... ich sehe, dass Leute sich ein eigenes Init-Skript dafür schreiben... ist das so denn gängig? Das Einbinden über die rc.conf scheint recht limitiert zu sein.
 
-Nuke- schrieb:
Ich hab keine Ahnung wie viel Durchsatz die AESNI Instruktion im i3 hat.
Zum Vergrößern anklicken....
Genug. Die AES-Performance ist zwar vom CPU-Takt abhängig, mehr als 1 GB/s per Kern schafft aber eigentlich jeder der Desktop-i3. 'cryptostats' aus /usr/src/tools/tools/crypto/ gibt eine Hausnummer der rohen Performance. GELI ist eher schneller, da es nicht durch /dev/crypto muss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben