Primero, el orden de LUKS y LVM depende de si desea tener contraseñas LUKS diferentes u otras configuraciones para diferentes LV. Si dice, necesita configurar diferentes contraseñas para diferentes LV, definitivamente necesita colocar LUKS encima de LVM. Por otro lado, si todos los LV comparten la misma contraseña y configuración como keylen, querrás tener LUKS por debajo de LVM, para que no tengas que lidiar con la sobrecarga de tener más de una partición LUKS (piensa en lo que tendría que hacerlo cuando necesite cambiar la contraseña).
En segundo lugar, casi siempre desea que RAID sea el nivel más bajo, de modo que cuando un disco muere, se pueda intercambiar de manera fácil y transparente. Si tuviera que configurar RAID sobre LVM, tendría que reemplazar un PV cuando un disco muere, eso sería un gran dolor en el cuello. También RAID sobre LVM derrotaría totalmente la flexibilidad de LVM. ¡Entonces probablemente deba configurar la segunda capa de LVM sobre RAID nuevamente!
Por lo tanto, como en la mayoría de los casos las personas solo necesitan usar una sola contraseña, esto sería suficiente:
RAID -> LUKS -> LVM -> ext4
En algunos casos, es posible que necesite usar LVM para combinar múltiples dispositivos RAID en un gran volumen, luego puede hacer lo siguiente:
RAID -> LVM -> LUKS (-> LVM) -> ext4
Teóricamente, el orden no debería afectar mucho el rendimiento, si cada capa está configurada correctamente , y en la práctica no he visto que esta configuración tenga un rendimiento particularmente malo. Lo más importante es probablemente la alineación:
- asegúrese de que sus particiones estén alineadas con 1 MB (muy importante para SSD);
- para la capa RAID, elija el tamaño del fragmento de forma inteligente;
- para LVM, asegúrese de configurar
--dataalignment
para que coincida con el tamaño del fragmento RAID ( esto podría ser útil).
Además, si el SSD, asegúrese de habilitar LUKS TRIM / DESCARTAR de paso a través añadiendo rd.luks.options=discard
a /etc/default/grub
y discard
a /etc/crypttab
(Esto es lo que hago en Red Hat / Fedora Linux. Puede ser un poco diferente en Debian.) LVM y RAID debe descartar el apoyo de forma automática si usa un kernel nuevo.
Por supuesto, estas son solo pautas generales. Si tiene necesidades especiales, no dude en actualizar su pregunta o comentario aquí.
Si desea todo RAID, LUKS y LVM, lo recomendaría
RAID -> LUKS -> LVM -> FS
.RAID --> LVM --> LUKS --> LVM --> FS
no es mejor queRAID -> LUKS -> LVM
: para ampliar los volúmenes, simplemente agregue másRAID -> LUKS
dispositivos a un grupo de volúmenes.RAID --> LVM --> LUKS --> FS
- cifrar solo volúmenes lógicos particulares tiene la característica de no cifrar todo de forma predeterminada (puede verse como una ventaja o una desventaja), pero facilitará la extensión del FS raíz.Ampliar LUKS sobre volúmenes lógicos es una fuente común de problemas cuando los usuarios los amplían / cambian de tamaño en el orden incorrecto. Tener LUKS en todo el dispositivo md RAID simplificará el cambio de tamaño: agregue un nuevo dispositivo md, cree LUKS además de eso, agregue el dispositivo a / etc / crypttab (al menos en los clones de Fedora y RHEL) y amplíe su grupo de volúmenes. Si el FS raíz está en el grupo de volúmenes, deberá agregar otra
rd.luks.uuid
entrada al cmdline del núcleo (editar / etc / default / grub y regenerar grub.cfg).LUKS -> RAID
generalmente es incorrecto: los datos se cifrarán varias veces, consumiendo más ciclos de CPU sin ganancia. También existe la posibilidad de reemplazar por error un disco fallido con uno nuevo sin configurar LUKS cuando falla un disco.Extendiéndose y encogiéndose:
Cuando se extienda, siempre vaya desde la parte inferior de la pila, cuando se encoja desde la parte superior.
Ejemplo:
Ampliación
RAID -> LVM -> LUKS -> FS
(los dos primeros pasos son opcionales si hay suficiente espacio libre en el grupo de volúmenes):Encogimiento
RAID -> LVM -> LUKS -> FS
:fuente