Za prvé, pořadí LUKS a LVM závisí na tom, zda chcete mít různá hesla LUKS nebo jiná nastavení pro různé LV. Pokud řekněme, že potřebujete nastavit různá hesla pro různé LV, rozhodně musíte na LVM umístit LUKS. Na druhou stranu, pokud všechny LV sdílejí stejné heslo a nastavení jako keylen, chtěli byste mít LUKS pod LVM, abyste se nemuseli zabývat režií více než jedním LUKS oddílem (přemýšlejte, co chcete bude muset udělat, když potřebujete změnit heslo).
Za druhé, téměř vždy chcete, aby byl RAID nejnižší úroveň, takže když jeden disk zemře, lze jej snadno a transparentně vyměnit. Pokud byste měli nastavit RAID nad LVM, museli byste vyměnit PV, když jeden disk zemře, to by byla velká bolest v krku. Také RAID nad LVM by zcela zničil flexibilitu LVM. Pak pravděpodobně budete muset znovu nastavit druhou vrstvu LVM nad RAID!
Protože ve většině případů lidé potřebují používat jediné heslo, stačilo by toto:
RAID --> LUKS --> LVM --> ext4
V některých případech může být nutné použít LVM ke spojení více zařízení RAID do velkého svazku, pak můžete:
RAID --> LVM --> LUKS (--> LVM) --> ext4
Teoreticky by pořadí nemělo moc ovlivnit výkon, pokud je každá vrstva nastavena správně a v praxi jsem neviděl, že by toto nastavení mělo nějak zvlášť špatný výkon. Nejdůležitější je asi zarovnání:
- ujistěte se, že jsou vaše oddíly zarovnány o velikosti 1 MB (velmi důležité pro SSD);
- u vrstvy RAID vybírejte velikost bloku moudře;
- pro LVM se ujistěte, že jste nastavili
--dataalignmentaby odpovídala velikosti bloku RAID (to může být užitečné).
Pokud používáte SSD, ujistěte se, že jste povolili LUKS TRIM/DISCARD pass-through přidáním rd.luks.options=discard do /etc/default/grub a discard až /etc/crypttab (Tohle dělám na Linuxu Red Hat/Fedora. Na Debianu to může být trochu jinak.) LVM a RAID by měly automaticky podporovat discard, pokud používáte nové jádro.
Samozřejmě jsou to jen obecné pokyny. Máte-li speciální potřeby, neváhejte zde aktualizovat svůj dotaz nebo komentář.
Pokud chcete všechny RAID, LUKS a LVM, doporučil bych RAID -> LUKS -> LVM -> FS . RAID --> LVM --> LUKS --> LVM --> FS není o nic lepší než RAID -> LUKS -> LVM - Chcete-li rozšířit objem, stačí přidat další RAID -> LUKS zařízení do skupiny svazků.
RAID --> LVM --> LUKS --> FS - šifrování pouze určitých logických svazků má vlastnost, že ve výchozím nastavení nešifruje vše (může být považováno za výhodu nebo nevýhodu), ale usnadní to rozšíření kořenového FS.
Rozšíření LUKS nad logické svazky je běžným zdrojem problémů, když je uživatelé rozšíří/změní velikost v nesprávném pořadí. Mít LUKS na celém md RAID zařízení zjednoduší změnu velikosti – přidejte nové md zařízení, vytvořte LUKS nad tím, přidejte zařízení do /etc/crypttab (alespoň na klonech Fedora a RHEL) a rozšiřte svou skupinu svazků. Pokud je root FS ve skupině svazků, budete muset přidat dalších rd.luks.uuid vstup do cmdline jádra (upravte /etc/default/grub a regenerovat grub.cfg.)
LUKS -> RAID je obvykle špatně - data budou zašifrována vícekrát, což spotřebuje více cyklů CPU bez zisku. Existuje také možnost omylem vyměnit vadný disk za nový bez nastavení LUKS, když disk selže.
Rozšiřování a zmenšování:
Při prodlužování vždy jděte od spodní části stohu, při smršťování shora.
Příklad:
Prodlužování RAID -> LVM -> LUKS -> FS (první dva kroky jsou volitelné, pokud je ve skupině svazků dostatek volného místa):
- Přidejte nové disky a vytvořte md RAID.
- Přidat zařízení mdX do skupiny svazků.
- Rozšiřte logický svazek.
- Rozšiřte zařízení LUKS.
- Rozšířit FS.
Zmenšování RAID -> LVM -> LUKS -> FS :
- Zmenšit FS.
- Zmenšit zařízení LUKS.
- Zmenšit logický objem.