FreeBSD + ZFS +暗号化？代替案？提案？

8

LAN内（およびVPN経由）でNASおよびファイルサーバーとして機能する専用の物理サーバーを作成したいと考えています。

ただし、ドライブを完全に暗号化する必要があります（システムドライブとデータドライブの両方、2つのzpoolを使用すると思います）。ZFS暗号化は、FreeBSDがサポートするバージョン28（およびOpenIndiana、Nexentaなど）ではサポートされていないため、唯一の可能性はGELIを使用することです。

現在、ZFSの上にGELIレイヤーを追加すると、データが失われる可能性があるかどうかを考えています。インターネット上のいくつかの投稿（多くはありません）がこの問題を指摘しているようです。特に、ZFSは、RAID（Z）とチェックサムの統合を考慮すると、Unix / Linuxの世界（たとえばext4、xfs、btrfsなど）で他のどのファイルシステムよりもはるかに優れているようです。

これにGELIを追加することは、RAIDセットアップにLUKSを追加するのと同じように思えますが、Geliを経験したことがなく、その信頼性もわかりません。パフォーマンスは主要な問題ではありませんが、LANでの1MB /秒の転送は望んでいません（ただし、20MB /秒以上は許容されます）。

私はLinuxの世界の外に出たことはないので、FreeBSDやSolarisの派生物の経験はありません。有償（高額）のサポート問題のため、Solaris Express 11は使用しません。これは自宅のコンピュータになります。必要に応じて喜んでそれらを学びます。
サーバーは基本的なNASタスクを実行する必要があります（特にsamba / cifsファイル共有。新しいZFSバージョンと統合する必要はありません）。

暗号化層を検討した後、GELI + ZFSはLUKS + LVM + ext4よりも信頼性が高くなりますか？スーパーユーザーに関する別の投稿で質問しましたが、暗号化については触れていませんが、ZFSのためにFreeBSD / Solarisを提案しました。OpenIndianaなどがLUKSやGELIなどのブロック暗号化方式をサポートしているかどうかはわかりません。

さらに、Linuxの場合と同様に、アレイにディスクを追加し、RAID（Z）とファイルシステムを拡張するのは簡単ですか（たとえば、ここ）。

freebsd encryption zfs

— user51166
ソース

1

ZFSでの暗号化にはgeomプロバイダーの1つを使用できるはずですが、ZFSの下のデバイスを暗号化する必要があります。多分、geliをセットアップしてから、タイプfreebsd-zfsの内部にgptパーティションを作成し、そこから移動します。

私は実際に両方のソリューション（freebsdとlinux）をテストし、システム管理者の時間とパフォーマンスに基づいて決定することをお勧めします。

— ルーク
ソース

管理者の観点から見ると、今の私にとっては確かにlinux LUKS + LVM + RAIDが適しています。おそらく、最終的には、Virtualboxを実行して、あなたが提案したとおりに試してみることにします。私は本物のFreeBSD初心者なので、（少なくとも最初は）管理はかなり難しいでしょう。私が探しているのは信頼性です（パフォーマンスではありません）。NASである必要がありますが、1Gbpsリンクを飽和させるような例外的なパフォーマンスは期待していません。メディアファイルも別のサーバーに配置されます。しかし、私はすでに別々のタスクを実行する多くのLinuxマシン（主にDebian GNU / Linux 64ビット）を持っています。

— user51166 2012

更新が非常に悪いことを行っているために問題が発生する可能性があるという意味で、ある種のOSの「冗長性」が必要なだけで、データのかなりの部分が残っています。バックアップサーバーも計画しているので、NASをLinuxで、バックアップサーバーをFreeBSD / Solarisで実行する方がよいでしょう。ただし、NASでもバックアップサーバーでも、Linuxとは異なるOSでZFSを使用してそのマシンにデータを保存したいのですが、暗号化されています。

— user51166

1

Solaris 11は、ZFS内のネイティブ暗号化をサポートしています。BSDに縛られていない場合は、検討する必要があります。本番環境以外の使用は無料ですので、サポートライセンスを購入しなくても自宅で使用できます。

プールを拡張するには、vdevを追加する必要があります。ディスクを追加して単一のraidzまたは他のvdevタイプを拡張することはできません。ただし、vdevの追加を開始すると、ZFSはvdev全体にデータをストライプ化し、パフォーマンスが向上します。

— ブレナン
ソース

回答ありがとうございます。私はBSDに縛られていません（実際にはまだ使用していません）。Solaris 11で問題が発生した場合、サポートのために年間1000ドル以上を購入しなければならないだけです。さらに、私はあなたがSolaris 11 Expressを参照していると思います。私は学生ですが、あまりお金がありません。

— user51166

1

それはもはやSolaris Expressではなく、11がリリースされた後は、現在すべてSolaris 11になっています。サポート契約について心配する必要はありません。もしあなたがFreeBSDやLinuxでトラブルに遭遇した場合、あなたは助けを得ますか？同じことがSolarisにも当てはまります。

— ブレナン

1

LinuxとFreeBSDを使用して、ヘルプ（ここ）またはフォーラムを利用できます。Solaris 11では、Oracleに連絡して支払いをする必要があります（または、とにかくインターネットでそう言われます）。または、Solarisのコミュニティ（無料）サポートとして何かありますか？

— user51166 2012

1

データ損失について過度に心配する必要はないと思います。FreeBSD上のGeliは成熟しており、私の経験では防弾されています。最初にGeli、次にZFS を上に置きます。次に、zpoolを使用して、任意の構成（単一ドライブ、ミラー、RAID-Zなど）でプールを構築できます。

私自身の経験：

私はFreeBSD 9のホームサーバーを持っていますが、2台のドライブがあり、それぞれに1つのzpoolがあります。これは、ZFS-on-rootセットアップです-UFSはありません。1つのドライブはシステムで、もう1つはデータです。データドライブにはフルディスク暗号化があり、システムドライブにはありません（それができない理由はないと思いますが、追加の複雑化を避けたかっただけです）。

私は裸のデータドライブを暗号化するためにgeliを使用しました。ZFS（厳密にはzpool）はこれを他のブロックデバイスと同じように認識し、通常の方法で "zpool create ..."を呼び出すだけで、そこから好きな方法でプールにzfsデータセットを作成できます。

私のユースケースではパフォーマンスは問題になりませんでした。鉱山は4GB Atom D520で完全に正常に動作しています。おそらく高速ではありませんが（ディスクはわずか5200rpm 2.5インチで、低電力/ノイズ）、ホームネットワークサービスには適しています。

このセットアップは、数年前から問題なく実行されています。

— sim303
ソース

1

LUKSやGeliなどのフルディスク暗号化（FDE）をZFSにドロップすると、ZFSの機能セットの多くを活用できなくなります。ただし、ZFSをFDEに配置すると機能します。

私は最近、FreeBSD ZFSの専門家から、ZFSでPEFSを推奨するという議論を聞いています。フォルダーとファイルに構成可能なPEFSは、将来的には構成可能になり、FreeBSD ZFSライブラリにバンドルされる可能性があります。

フルディスク暗号化に依存しないことを推奨する暗号化の専門家はいますが、FreeBSDまたはLinuxでは、異なる暗号化戦略を連鎖させることが合理的な戦略であると考えています。

例：Rawディスク-> FDE（Geli / LUKS）-> ZFS->（/ homeの場合）PEFSまたはEncFSを使用したユーザーランド暗号化。このモデルでは、フルディスク暗号化が危険にさらされている場合、誰かがリソースとモチベーションを持っている場合、それは難しくないと私が理解していることから、PEFS / EncFSを使用して最も重要なファイルを保護することができます。クラック。

— ティモシー・C・クイン
ソース