在 Linux 桌面 (Ubuntu) 上使用 dm-crypt (LUKS) 作为完整磁盘加密(包括根分区)时,读/写开销是多少?我计划像这样堆叠它:LUKS > LVM > ext4 系统上使用的 CPU 是 Core2 Duo 2.1 GHz,具有 4GB RAM。
- 这样的系统的加密会产生巨大/显着的开销吗?
- 网上有什么最近的基准吗?您的个人经历是什么?
- 我可以进行任何设置来提高性能吗?
谢谢你的帮助。
答案1
dm-crypt 不涉及 I/O 开销 - 只有 CPU 开销...;)
例如,在 Athlon 64 2.6 GHz 双核系统上,我可以以约 40 MB/秒的速度从一个 dm-crypt 磁盘复制到另一个(2.6.26 内核、Seagate 1.5 TB SATA 磁盘)。
为了提高性能,请确保加载针对您的架构优化的 aes 模块,例如
$ lsmod | grep aes
aes_x86_64 12416 6
aes_generic 32552 1 aes_x86_64
关于数据安全,不需要因为 dm-crypt 而禁用写入缓存。旧版本不支持 write-barriers,但自 2010 年(内核 2.6.31 左右)开始 dm-crypt确实支持他们(分别为强制单元访问 - FUA)。
顺便说一句,有人可能会说加密根分区实际上没有意义。
然而,加密交换确实有意义。
答案2
如果您计划执行 LVM 快照,Ext4 可能不是一个糟糕的文件系统选择。我建议在上线之前进行大量的磁盘性能检查,并在 FS 和 LVM 上尝试块大小。我的经验是使用 Ext3,但我当时看到的其他文章暗示 Ext4 也有类似的问题。
我通过使用 XFS 作为文件系统解决了这个问题。