На каком уровне шифрование LUKS?
Вариант 1: Раздел Linux -> LUKS -> LVM
Вариант 2: Раздел Linux -> LVM -> LUKS
Какой стек лучше с точки зрения загрузки системы?
Справочная информация: На моем сервере Linux (процессор AMD Opteron 6338P, контроллер LSI 3ware SAS / SATA-RAID с двумя жесткими дисками 4 ТБ в RAID 1, 64 ГБ ОЗУ) на которые работают несколько контейнеров LXC, к сожалению, существуют зависимости задержки ввода-вывода между этими контейнерами. Я хотел бы уменьшить это нежелательное влияние с помощью оптимальной компоновки системы, насколько это возможно. Поскольку у меня есть "выделенный сервер" от хостинга провайдер Я не могу изменить / оптимизировать конфигурацию оборудования.
Хотя ваш сервер, похоже, не предоставляет места для оптимизации оборудования, я бы выбрал вариант 2 (раздел Linux => LVM => LUKS) вместо варианта 1 (раздел Linux -> LUKS -> LVM) для ради гибкости. Например:
В Option2 вы сможете привязать один или несколько LV к контейнеру и установить парольные фразы, ключевые файлы и другие параметры LUKS, такие как шифр и тип устройства, которые будут уникальными для контейнера. В Варианте 1 вы также сможете привязать один или несколько LV к контейнеру, однако все LV неизбежно будут иметь одни и те же параметры, и, например, вы не сможете установить более сильный шифр для одного контейнера и более слабый шифр. на другом.
В Варианте 2 вы сможете создавать незашифрованные LV помимо зашифрованных, если это необходимо из соображений производительности. В Варианте 1 вы не сможете сделать это, не создав новую группу томов с использованием других PV.
В Варианте 2 повреждение заголовка LUKS приведет к потере только одного логического тома. В Варианте 1 повреждение заголовка LUKS приведет к потере всей группы томов.
В Варианте 2, если бы вы могли подключить твердотельные диски к серверу, было бы легче настроить lvmcache (7 ) на существующей группе томов, и вы можете выбрать отдельные LV для кеширования.
Я предполагаю, что оба варианта покажут одинаковую производительность.