Forum Mjukvara Linux och övriga operativsystem Tråd

ZFS+Kryptering (opensolaris)

1
Skriv svar
Permalänk
Medlem

ZFS+Kryptering (opensolaris)

Tjena!
Väldigt sugen på att fippla igång zfs med opensolaris på min filserver. Frågan är nu, om jag skall köra kryptering, vad har jag för alternativ?
Så vitt jag förstått så finns det en implementering i betastadiet med kryptering inbyggt i zfs. Skall man vänta tills detta är klart? Eller kan man uppdatera vid senare tlllfälle och lägga dit kryptering i efterhand??

Just nu har jag inte så feta diskar, det kommer mer. Kan man slänga ihop någon form av jbod med dessa diskar? 1x80 2x120 1x500. Givetvis inte speciellt säker lösning det inser jag men förmodar att det är möjligt? typ zpool create jbodblabla disk1 disk2 disk3
osv

Senast redigerat
Visa signatur

Litelol.se

Redigera
Citera flera Citera
Permalänk
Avstängd

Vet inte, kanske någon i #opensolaris på irc.freenode.net vet bättre.

Redigera
Citera flera Citera
Permalänk
Avstängd

Angående kryptering, så vet jag inte hur bra det är i ZFS än. Men det jobbas aktivt på. Jag skulle nog avstå från kryptering tills det funnits ett tag.

Du kan slänga ihop en zpool med dina diskar. Men det blir inte säkert, för du har ingen redundans. Din zpool kommer att bestå av: 1x80, 2x120, 1x500. Kraschar en disk, så har du förlorat det datat.

Vill du ha redundans och säkerhet, så kan du slänga ihop en raidz1 ZFS raid. Då kommer ZFS raidet bestå av den minsta diskstorleken, dvs din zpool kommer att bestå av 4x80. Resten kan inte användas. Det kanske är bättre att göra 3x80 och lägga undan 500GB disken eller adda den som en ensam grupp med copies=3? Då får du 3x80 + 500GB.

(Har hört att du kan köra en enda disk i en zpool och specificera "copies=3" eller nåt sånt. Som jag förstod det, så kommer ZFS sprida 3 kopior av alla(?)/metadata(?) block över hela disken. På så sätt får du viss säkerhet på en ensam disk, om t.ex. en fil förstörs. Men det skyddar inte mot att disken förstörs, då är dina data borta)

Du bör köra redundans, helst raidz1 eller raidz2.

Redigera
Citera flera Citera
Permalänk
Medlem

Som jag fattat det är det möjligt att använda partitioner med zfs, men med försämrad prestanda såsom att diskarnas skrivcache blir avstängd. Man skulle i så fall t.ex. kunna partitionera en varsin 40 GB-partition på de båda 120 GB-diskarna och köra mirror på dessa. Sedan kör man raidz1 med 3x80 GB med resterande utrymmet på 120 GB-diskarna tillsammans med 80 GB-disken. Då får man totalt 200 GB utrymme med redundans på dessa 3 hårddiskar. Men det rekommenderas att man inte använder partitioner med zfs eftersom det krånglar till det och ger sämre prestanda men teoretiskt är det alltså möjligt om man vill kräma ut så mycket diskutrymme som möjligt med raidz när man har olika stora hårddiskar.

500 GB-disken kan man sedan lägga i en egen zpool som saddam beskriver men den blir då inte skyddad mot diskhaveri. Med copies=2 kan man få ökad säkerhet på filnivå, copies=3 är kanske overkill. copies=3 betyder att all data sparas på 3 ställen på disken. Så utrymmet blir bara en tredjedel av 500 GB i så fall, alltså 167 MB. copies=2 ger alltså halva utrymmet, d.v.s. 250 GB.
Se denna artikel:
http://blogs.sun.com/relling/entry/zfs_copies_and_data_protec...

Detta kan man alltså göra på enskilda filsystem. T.ex. så skulle man kunna sätta copies=2 på sin hemmamapp. Skyddar förstås inte mot hårddiskhaveri men ger skydd på filnivå (zfs kan då reparera trasiga filer genom att läsa data från ett annat ställe på hårddisken). Kan t.ex. vara lämligt på en bärbar dator med endast en hårddisk.

Redigera
Citera flera Citera
Permalänk
Medlem

Intressant, blir nog till att vänta när jag fixar nya hårddiskar + nyare version av solaris/opensolaris med krypering redo
Känns trots allt lite flummigt att köra opensolaris som server med X samt gnome som tar upp hutlöst onödiga resurser.

Visa signatur

Litelol.se

Redigera
Citera flera Citera
Permalänk
Avstängd

Det är enkelt att stänga ned X med det nya SMF. Man skriver
# svcadm disable gdm

Det som är nytt med SMF är att det håller själv reda på vilka tjänster och daemoner som beror av varandra. Stänger du ned X, så kommer SMF stänga ned allting som beror av X. Så det kommer inte hända att t.ex. gnome ligger och drar resurser, när du stängt ned "gdm". Stänger du ned nätverket, så startas inte "sendmail" och sånt.

Det är alltså helt onödigt att kompilera en minimal Solaris dist.

Redigera
Citera flera Citera
Permalänk
Medlem

Ah! Fantastiskt. Tack för infon
En sak till jag funderar över är om man inte kan få en lite mer verbose uppstart av systemet. Om man kör text based boot så ser man ju typ 3 grejjer som händer, van linux/freebsd nerd som man är vill man ju se output på skärmen över vad som startas och händer i systemet.

Hur ser förresten stödet ut för denna planka?
* ASUS M2N68-AM 630A SOCKET AM2+ M-ATX

Senast redigerat
Visa signatur

Litelol.se

Redigera
Citera flera Citera
Permalänk
Avstängd

Vid boot kan man välja typ "text boot" eller nåt sånt. Då får man se massa msgs hela tiden. Har jag hört. Men jag vet inte om det stämmer.`Men det ska finnas ett sätt att se massa msgs. Kanske Ronnylov vet hur?

Angående hårdvara, så finns en HCL list (Hardware compatibility List) på SUNs hemsida. Där kanske plankan är listad?

Redigera
Citera flera Citera
Permalänk
Medlem

nja det är just det jag kört, men jag får typ fram 3 meddelanden allt som allt..typ zfs blabla 6/6 osv och inte så mycket mer Känns tämligen ovanligt på ett *nix system

Visa signatur

Litelol.se

Redigera
Citera flera Citera
Permalänk
Medlem

Jag vet inte om/hur man kan konfigurera vilka meddelanden som ska visas när man väljer text boot.

M2N68-CM lär ska funka enligt detta (hittade inte M2N68-AM):
http://www.sun.com/bigadmin/hcl/data/systems/details/25691.ht...

Vet inte vad som skiljer mellan CM och AM.

Redigera
Citera flera Citera
Permalänk
Medlem

På FreeBSD går det att köra ovanpå GELI's krypterade containers:

http://www.freebsd.org/doc/en/books/handbook/disks-encrypting...

Initiering av diskarna
# geli init /dev/ad0
# geli init /dev/ad1
# geli init /dev/ad2
Montering
# geli attach /dev/ad0
# geli attach /dev/ad1
# geli attach /dev/ad2
# zpool create tank /dev/ad0.eli /dev/ad1.eli /dev/ad2.eli

Grymt förenklat och givetvis måste du in med nyckelfiler och lösenord men ungefär så
Och utan nån form av raid eller säkerhet för datat.
Se till att du har nog med CPU för detta också, vilken dualprop som helst lär duga men att köra på gamla system är inget jag själv rekommenderar.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Neco
[B]På FreeBSD går det att köra ovanpå GELI's krypterade containers:

Borde väl fungera att köra tvärt om med, dvs följande

zfspool create tank /dev/ad0 dev/ad1 /dev/ad2
geli init /tank 
geli attach /tank

Något problem med detta?

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av mix_room
Borde väl fungera att köra tvärt om med, dvs följande

zfspool create tank /dev/ad0 dev/ad1 /dev/ad2
geli init /tank 
geli attach /tank

Något problem med detta?

Ingen aning, tror inte GELI fungerar rakt på monterade filsystem utan måste vara på lägre nivå.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara