Primero, el orden de LUKS y LVM depende de si desea tener diferentes contraseñas de LUKS u otras configuraciones para diferentes LV. Si, por ejemplo, necesita configurar diferentes contraseñas para diferentes LV, definitivamente necesita poner LUKS encima de LVM. Por otro lado, si todos los LV comparten la misma contraseña y configuraciones como keylen, querrá tener LUKS debajo de LVM, para no tener que lidiar con la sobrecarga de tener más de una partición LUKS (piense en lo que tendría que hacer cuando necesite cambiar la contraseña).
En segundo lugar, casi siempre desea que RAID sea el nivel más bajo, de modo que cuando un disco muere, se puede intercambiar de manera fácil y transparente. Si tuviera que configurar RAID encima de LVM, tendría que reemplazar un PV cuando un disco muere, eso sería un gran dolor en el cuello. Además, RAID sobre LVM anularía totalmente la flexibilidad de LVM. ¡Entonces probablemente necesite configurar la segunda capa de LVM encima de RAID nuevamente!
Por lo tanto, debido a que en la mayoría de los casos las personas solo necesitan usar una sola contraseña, esto sería suficiente:
RAID --> LUKS --> LVM --> ext4
En algunos casos, es posible que necesite usar LVM para combinar varios dispositivos RAID en un gran volumen, luego puede hacer lo siguiente:
RAID --> LVM --> LUKS (--> LVM) --> ext4
En teoría, el orden no debería afectar mucho al rendimiento, si todas las capas están configuradas correctamente , y en la práctica no he visto que esta configuración tenga un rendimiento particularmente malo. Lo más importante es probablemente la alineación:
- asegúrese de que sus particiones estén alineadas en 1 MB (muy importante para SSD);
- para la capa RAID, elija sabiamente el tamaño de la porción;
- para LVM, asegúrese de configurar
--dataalignmentpara que coincida con el tamaño del fragmento RAID (esto podría ser útil).
Además, si está en SSD, asegúrese de habilitar el paso de LUKS TRIM/DISCARD agregando rd.luks.options=discard a /etc/default/grub y discard a /etc/crypttab (Esto es lo que hago en Red Hat/Fedora Linux. Puede ser un poco diferente en Debian.) LVM y RAID deberían soportar automáticamente el descarte si usa un kernel nuevo.
Por supuesto, estas son solo pautas generales. Si tiene necesidades especiales, actualice su pregunta o comentario aquí.
Si desea todo RAID, LUKS y LVM, recomendaría RAID -> LUKS -> LVM -> FS . RAID --> LVM --> LUKS --> LVM --> FS no es mejor que RAID -> LUKS -> LVM - para ampliar los volúmenes simplemente agregue más RAID -> LUKS dispositivos a un grupo de volúmenes.
RAID --> LVM --> LUKS --> FS - Cifrar solo volúmenes lógicos particulares tiene la característica de no cifrar todo de forma predeterminada (puede verse como una ventaja o una desventaja), pero facilitará la extensión del FS raíz.
Extender LUKS sobre volúmenes lógicos es una fuente común de problemas cuando los usuarios los amplían/cambian de tamaño en el orden incorrecto. Tener LUKS en todo el dispositivo RAID md simplificará el cambio de tamaño:agregue un nuevo dispositivo md, cree LUKS además de eso, agregue el dispositivo a /etc/crypttab (al menos en los clones de Fedora y RHEL) y amplíe su grupo de volúmenes. Si el FS raíz está en el grupo de volúmenes, deberá agregar otro rd.luks.uuid entrada a kernel cmdline (editar /etc/default/grub y regenerar grub.cfg.)
LUKS -> RAID generalmente es incorrecto:los datos se cifrarán varias veces, consumiendo más ciclos de CPU sin ganancia. También existe la posibilidad de reemplazar por error un disco defectuoso por uno nuevo sin configurar LUKS cuando falla un disco.
Extender y reducir:
Cuando se extienda, siempre vaya desde la parte inferior de la pila, cuando se reduzca desde la parte superior.
Ejemplo:
Extender RAID -> LVM -> LUKS -> FS (los dos primeros pasos son opcionales si hay suficiente espacio libre en el grupo de volúmenes):
- Agregue nuevos discos y cree md RAID.
- Agregue el dispositivo mdX al grupo de volúmenes.
- Ampliar el volumen lógico.
- Ampliar dispositivo LUKS.
- Extender FS.
Reducción RAID -> LVM -> LUKS -> FS :
- Reducir FS.
- Dispositivo LUKS retráctil.
- Reducir el volumen lógico.