ZFS en encryptie

Nob · 09 aug 2011, 13:53

Vanaf Zpool versie 31 ondersteunt ZFS encryptie.

Jammer genoeg is deze versie (31) enkel aanwezig in Open Solaris Express 11.
Dus niet in FreeBSD/OpenIdiana/NexentaStor/...

Als je dus encryptie wil op één van deze andere platformen moet je daar dan zelf voor zorgen (bvb door geli te gebruiken in FreeBSD).
Aangezien dat nogal omslachtig is (en niet echt makkelijk -vooral als er nu (of later) problemen optreden-), had ik graag geweten of ik nu al bvb een ZFS pool kan opzetten in FreeBSD (met bvb 3 harde schijven) unencrypted. Eens dan zpool versie 31 beschikbaar is in FreeBSD, kan ik dan mijn bestaande pool gewoon encrypteren? Of moet ik die van scratch terug opbouwen (en dus al mijn data eerst ergens naar backuppen)?

Indien het antwoord hier ja op is, had ik graag OpenIdiana/FreeBSD of NexentaStor gebruikt.

Indien neen, zou ik Open Solaris Express 11 in combinatie met napp-it (www.napp-it.org) gaan gebruiken.

greetz,

Nob

09 aug 2011, 23:34

Ik heb eigenlijk een andere vraag voor je: waarom wil je ZFS gebruiken? Omwille van de makkelijke uitbreidbaarheid?

Nob · 10 aug 2011, 08:12

Inderdaad, gemakkelijk uitbreidbaar +

- self healing
- zoals gezegd, vanaf zpool versie 30 (en niet 31 zoals ik eerder zei): encryption (en da's leuk dat dat in zfs zelf zit).
- geen gepruts meer met lvm en raid (een proper all-in-one paket dus)

Nu, ik had begrepen dat btrfs zo'n zaken ook aan boord had. Behavle dus encryptie en raidz (raid5) en die zaken zijn redelijk belangrijk voor mij.

Ben altijd bereid om te kijken naar alternatieven als die er zijn.

greetz,

Nob

13 aug 2011, 18:58

De self-healing van ZFS is ook niet alles hoor. Er is een reden waarom wij Solaris en ZFS verlaten hebben. De self-healing functie in ZFS bestaat erin dat er bij reads CRC's berekend worden die dan nagaan of je data nog wel goed is. Dus zolang je je data niet leest weet je dus ook niet of de CRC's nog goed zijn.

Trouwens, test die uitbreidbaarheid van ZFS maar eens goed voor je er al je data op gaat zetten. Het werkt niet op de manier zoals je denkt dat het werkt. Stel je hebt een raidz met 3 disks en je wil 1 disk toevoegen. Als je extra disk ooit dood gaat ben je al je data kwijt. Wat ZFS zal doen is een stripe opbouwen van je raidz vdev en je nieuwe disk (of vroeger was het toch zo). Dus als je een uitbreiding doet zou je al moeten beginnen met minstens 2 disken (die dan een mirror vormen) of 3 disken in raidz.

Dus dan kun je evengoed linux software raid nemen

Tim.Bracquez · 13 aug 2011, 19:14

ZFS met een goede configuratie is (zeer)goed en snel.

Als je zelf wilt proberen voor thuis raad ik je FreeNAS aan. Alles via een klik-klik webinterface inclusief ZFS (FreeBSD basis)

Nob · 18 aug 2011, 22:01

Tim,

Naar FreeNAS had ik ook al gekeken, maar die ondersteunen in de huidige versie geen encryptie...

Sub,

Wat raad je me dan wel aan? Gewoon Linux softraid met lvm en ext4 ? Want persoonlijk vind ik dat nogal omslachtig...

greetz,

Nob

18 aug 2011, 22:29

Waarom zou je LVM er bij sleuren? Als je 1 grote array wil: mdadm(8) en cryptsetup(8) zullen je vriend zijn

Vooral mdadm is echt gebruiksvriendelijk geworden in vergelijking met 5-6 jaar geleden hoor. Er is namelijk geen device mapper enzo meer.

Nob · 19 aug 2011, 08:01

Zonder lvm? Ik dacht juist dat lvm diende om er een geheel van te maken... hoe doe je dit dan zonder lvm?
Stel dat ik dan achteraf een HD wil toevoegen (de kans is wel klein), hoe vergroot ik dan de encrypted partitie zonder lvm?

[ Afbeelding

Post made via mobile device ]

20 aug 2011, 12:17

Gewoon de partitie vergroten?

Ik denk dat je wat lagen door mekaar haalt

hard disks > md device > encrypted fs

Als je je MD device vergroot (en dat kan) en je kan je encrypted fs vergroten (hoogst waarschijnlijk kan dit ook), dan ben je er. Geen LVM of whatever nodig.

Nob · 21 aug 2011, 21:40

Ok Sub,

Stel ik heb 5x1TB harde schijven (zonder filesystem).
Ik zet deze in raid5.
Hierna encrypt ik mijn raid volume en mount ik dat (heb ik hier 1 partitie van 4GB?)

Over die partitie zwier ik dan mijn filesystem (welk neem ik trouwens best: ext3 of ext4 ?).

Als ik later wens uit te breiden met 1 extra hd, voeg ik deze toe aan de raid, mijn encrypted gedeelte vergroten, dunno hoe dat moet (of is dat zelfs nodig?)
De partitie onder mijn encrypted gedeelte (dus de ext3 of ext4), die kan je inderdaad wel vergoten.

Ik lees wel zaken als

Now that we have /dev/md0 device you can create a Logical Volume on top of it. Why would you want to do that? If I were to build an ext3 filesystem on top of the RAID device and someday wanted to increase it's capacity I wouldn't be able to do that without backing up the data, building a new RAID array and restoring my data. Using LVM allows me to expand (or contract) the size of the filesystem without disturbing the existing data.

op internet...

(Wel raar dat je op internet dan altijd howto's vindt met raid+lvm+encryptie, die lvm zou dan bijna nooit voor iets nodig zijn voor 80% van de mensen.)
Alvast bedankt voor de info!

greetz,

Nob

28 aug 2011, 00:45

Mja, of je nu je filesystem rechstreeks op je raid array gooit of er nog LVM tussen steekt. Je filesystem moet toch de mogelijkheid hebben om te resizen, zelfs al draait het bovenop LVM. Dus waarom een extra laag ertussen steken? Vergroten is geen enkel probleem met eender welk filesysteem van de laatste 10-15 jaar. Dus ext3, ext4, reiser, xfs, ntfs, ... kunnen dit allemaal.

DaNi0 · 28 aug 2011, 04:36

Hier ook een tevreden gebruiker van de combinatie mdadm + cryptsetup zonder LVM. Zie ook de Linux RAID Wiki, meer specifiek: growing.
Toevallig genoeg ben ik zelf op dit moment bezig mijn array aan het uitbreiden met een extra harde schijf.

ZFS en encryptie

Userbase AI hulp

Antwoord