Vaše vrstvení není optimální, protože umístění raid 5 nad šifrování znamená, že zvýšíte počet operací šifrování/dešifrování o 25 % – protože je zašifrováno 4 * 4 TB.
Při umístění šifrování nad raid 5 jsou zašifrovány pouze 3 * 4 TB.
Důvodem je toto:nemusíte šifrovat paritní data (která ve vašem příkladu zabírají 4 TB) šifrovaných dat, protože to nezvyšuje vaši bezpečnost.
Váš předpoklad o více procesech kcrypt je právě takový. Při rozhodování na základě toho jde o předčasnou optimalizaci, která může mít zcela opačný efekt. Vaše i7 je docela robustní, pravděpodobně dokonce obsahuje nějaké speciální instrukce, které pomáhají urychlit AES - a linuxové jádro obsahuje několik optimalizovaných variant kryptografických primitiv, které jsou automaticky vybírány během bootování.
Zda se používají optimalizované rutiny pro váš CPU, můžete ověřit pomocí /proc/cpuinfo (např. příznak aes tam), /proc/crypto , lsmod (pokud nejsou moduly aes zkompilovány do jádra) a protokol jádra.
Měli byste porovnat propustnost kryptdu bez použití pomalých disků, abyste viděli, jaká je skutečně horní hranice (tj. na disku RAM používajícím iozone).
Abyste mohli později diagnostikovat potenciální problémy s výkonem, je také užitečné porovnat vámi zvolené nastavení RAID bez šifrování, abyste na tomto konci získali horní hranici.
Kromě kryptografického tématu zahrnuje RAID 5 více IO-operací než RAID 1 nebo 10. Vzhledem k tomu, že úložiště je trochu levné, možná je možností koupit více pevných disků a použít jinou úroveň RAID.
Raid bych 1+0 [a2,b2]+[c2,d2], pak LVM přes LUKS.
Příklad
$ sudo mdadm --create /dev/md0 -v --raid-devices=4 \
--level=raid10 /dev/sdb1 /dev/sdc1 /dev/sde1 /dev/sde1
POZNÁMKA: Strukturováním tímto způsobem vytvoříte pruh zrcadel, který umožní selhání maximálně 2 disků (maximálně jeden v každém zrcadle) a poskytne vám to celkem/2 místa na rozdíl od raid5, což je celkem*~0,75.
Také se domnívám, že toto schéma je výrazně rychlejší, protože je známo, že RAID5 snižuje výkon, ale budete mít k dispozici méně místa.
Můžete také zkontrolovat šifru, i když si myslím, že aes-cbc-essiv je výchozí a přiměřeně rychlý, ale můžete použít aes-xts-plain, který by měl být rychlejší.