Шифрование

[nesomnoy]

Кто подскажет, Nas4free поддерживает шифрование ZFS(raidz2)? Если да, то как это реализовать. Заранее спасибо.

[MikeMac]

Кто подскажет, Nas4free поддерживает шифрование ZFS

ЕМНИП шифрование в zfs поддерживается в Oracle ZFS, но не в OpenZFS. А у нас - свободный OpenZFS.

так что прямой путь не работает. Как кривой можно использовать geli
https://www.freebsd.org/cgi/man.cgi?geli(8)

[nesomnoy]

так что прямой путь не работает.

FreeNAS решил мои проблемы

[MikeMac]

FreeNAS решил мои проблемы

Это самое главное.
Вот только я, вероятно, не понял ваш вопрос. Во freenas версия zfs в которой также нет шифрования, только более ранняя, чем в nas4free. И сделано на основе freebsd, в которой есть шифрование через geli.

http://doc.freenas.org/9.3/freenas_storage.html

This is not the encryption method used by Oracle’s version of ZFS as that version is not open source and is the property of Oracle.
This is full disk encryption and not per-filesystem encryption. The underlying drives are first encrypted, then the pool is created on top of the encrypted devices.

Сделать на geli провайдерах пул не сложнее, чем на gnop. Вот только скорость для raidz2 вам, боюсь, не понравится. Так как этим способом придётся шифровать все диски (5-6, минимум) А вариант с zfs шифрованием - это шифрование в один поток.

Ожидайте торможение в те же 5-6 раз. Потому я и написал, что криво. Но, возможно, вас устроит.

PS в один поток можно шифровать поверх zfs. Например, сделать md поверх zfs пула, зашифровать geli и сделать поверх что хочется - хоть ещё один пул, хоть UFS. Только всё это тоже криво.

[nesomnoy]

Это самое главное.
Вот только я, вероятно, не понял ваш вопрос. Во freenas версия zfs в которой также нет шифрования, только более ранняя, чем в nas4free. И сделано на основе freebsd, в которой есть шифрование через geli.

Да, все верно, freenas через geli

Ожидайте торможение в те же 5-6 раз. Потому я и написал, что криво. Но, возможно, вас устроит.

Так это наверно если процессорной поддержки нет(а freenas вроде поддерживает), после теста скажу, но наверно и так устроит.

[MikeMac]

Так это наверно если процессорной поддержки нет(а freenas вроде поддерживает), после теста скажу, но наверно и так устроит.

без процессора с AES и в один поток будет не ах. Но речь-то о том, что с 5-6(по числу дисков) параллельными потоками шифрования и процессор не справится.

PS Пулы медлц nas4free и freenas переносимы (если не включены фичи - а так nas4free новее версия). Уверен,что и пул поверх geli перенесётся, только надо на старте geli запустить и только потом пул импортировать

[nesomnoy]

без процессора с AES

Имеется.
В итоге 25 мб/сек с шифрованием и компрессией. Вполне себе.

[Linder]

Решил поделиться своими впечатлениями по этому поводу. Вообщем поступила просьба сделать сетевой диск для небольшой конторы, это конечно не мой профиль, но решил попробовать. Требования были следующие: распределение прав доступа по юзерам, и за каким то хреном нужно было шифрования дисков, на случай прихода каких то там компетентных органов , к ним 7 лет никто не приходил, ну короче руководителю захотелось. По железу был куплен HP microserver gen8, в самой дешевой комплектации, куплено 2*8Гигов RAM, Intel xeon e3 1220 v2, и 5 дисков по 1ТБ.

Сначала собрал все на nas4free 11.0.0.4.3958 от zfs решил отказаться так как цеплать каждый раз 5 дисков тупо не удобно. создал рейд5 из 4 дисков и один просто на ufs для бэкапа на всякий пожарный. и зашифровал массив и отдельный диск. Скорость была на копировании файлов с компа на рейд5 по SMB порядка 60-70МБ/с (много файлов по 300-400метров). Но с таким конфигом я столкнулся с проблемами: Все диски зашифрованы и при старте системы swap и log разделы системе не видны. Вторая и самая большая проблема при старте системы после ресета я не мог подключить зашифрованные разделы, в вебгуй при попытке подключить писалось сделано, а ниже типо еррор дискне приатачен, хотя в статусе в вебе висело что диски attached, но соответсвенно в точке монтирования висела ошибка что дисков нет. Я не стал искать решения данной проблемы так как в боевых условиях танцевать с бубнами сотрудники компании явно не особо желают.

Решил попробовать freenas 9.10.2-U2, интерфейс хоть и красивее но блин тормозной и интуитивно не понятный. Да и как такого форматирования дисков я не нашел, а оно мне было нужно так как при создании софтового рейда он отказывался его создавать ибо у меня один диск был размечен и он не мог почему то ничего с ним сделать. Пришлось через консоль форматировать. В итоге создал raidz2 из 5 дисков. freenas шифрует каждый диск с помощью geli, но дает выбрать ни способ шифрование ни длину ключа, шифрует aes-xts 128. Но удобно что после перезагрузки нужно только вести пароль на pool и все, freenas уже сам подключает все диски.
скорость вышла при таком раскладе 50-60МБ/с (много файлов по 300-400метров). При этом загрузка цп 20-25%

[MikeMac]

Решил поделиться своими впечатлениями по этому поводу.

Спасибо, это полезно.

Хотя в вашем конкретном варианте, я тестил бы солярку от оракла, где шифрование есть из коробки. Хотя за использование в бизнесе придётся покупать лицензию, ценой котороя я даже не интересовался, признаться.

Для FreeBSD есть два варианта - шифровать устройста, собирать на них пул - как у вас
и
шифровать что-то на уже существующем пуле.
Наиболее очевидный вариант - шифровать zvol, по нему нагуглил на первый взгляд обещающий мануал прям здесь
https://www.nas4free.org/forums/viewtopic.php?t=8664

Хотя люди делают что то типа raidz2 - поверх него geli устройство - из него zfs страйп. Назначение у автора в том, что можно принимать по zfs send-receive . И geli шифровать в один поток. а не по числу физ дисков.

[Linder]

Для FreeBSD есть два варианта - шифровать устройста, собирать на них пул - как у вас
и
шифровать что-то на уже существующем пуле.
Наиболее очевидный вариант - шифровать zvol, по нему нагуглил на первый взгляд обещающий мануал прям здесь
https://www.nas4free.org/forums/viewtopic.php?t=8664

Хотя люди делают что то типа raidz2 - поверх него geli устройство - из него zfs страйп. Назначение у автора в том, что можно принимать по zfs send-receive . И geli шифровать в один поток. а не по числу физ дисков.

Спасибо, буду иметь ввиду, может в дальнейшем пригодится, так как существующую конфигурацию уже трогать не буду.

Для меня правда все равно остается открытым вопрос для чего нужно подобное шифрование, может кто то приведет несколько доводов.

[MikeMac]

для чего нужно подобное шифрование.

Я сам на момент не пользую, но приведу.
- zfs stripe поверх geli поверх raidz2 человек использует для приёма по zfs send-receive бекаповякщще пулов с нескольких серверов. Ну не хочет иметь одну точку, в которой собраны все чувствительные данные без шифрования.
- классический контейнер на NAS. В котором лежат, например, договоры. Контейнер можно открывать по необходимости и спокойно бекапить на незащищённые носители, хоть в облако.