Umlyaut
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: golychev
Umlyaut
я вообще говорю о том, чтобы сделать хост с защищенными данными, и хранилка внутри хоста
для 20-30 юзеров и бесплатно... |
Не совсем понял конструкцию "хост с защищёнными данными".
Давайте по порядку разберёмся...
[К.О-режим вкл.]
Данные по-любому хранятся в файлах - БД, почтовые базы, документы и пр.
В нашем случае (виртуальная инфраструктура) эти файлы будут лежать на файловой системе внутри виртуальных дисков, которые, в свою очередь, являются файлами, лежащими на файловой системе сторов.
Очевидно, что для надёжной защиты файлов с данными в настоящее время уместнее всего применить дисковое шифрование (шифрование на уровне ФС) - тогда при отчуждении носителей (без разницы, сопрут ли физические носители или спишут с них файлы виртуальных дисков VM`ок) интрудер не поимеет наши данные.
Шифрование на уровне ФС возможно "внешнее" или "внутреннее" - по отношению к виртуальным дискам: первое предполагает шифрование ФС стора, на котором лежат вирт.диски; второе же шифрует ФС внутри вирт.диска.
Первое ("внешнее") шифрование ограничивает нас требованием наличия шифрования для данной ФС (нативное от вендора ФС или third-party). В случае VMFS мы явно в пролёте, в случае же NFS таковое шифрование возможно, если оно а) существует для ФС тома хранилки, расшаренного по NFS и б) ОС хранилки допускает использование такового шифрования.
Соответственно, второй ("внутренний") тип шифрования представляется мне наиболее удачным вариантом, т.к. в настоящее время большинство массово используемых ФС (коими оперируют VM`ки с той или иной ОС унутре) допускают применение дискового шифрования.
При этом нам должно быть безразлично, где и какого типа у нас стор (на хосте в виде VSA или в сети в аппаратном виде) - лишь бы он устраивал нас по характеристикам I/O (т.е. роялить будут пар-ры среды передачи и производительности дисковой системы).
[К.О-режим вЫкл.]
В Вашем случае я не очень понял вышеизложенное описание про
Цитата:| в данный момент попробовал freebsd/istgt/geli - windows/iscsi стандартный инициатор |
Т.е. у Вас VSA на фре, а к её таргету iscsi подключается Windows-VM со своим виндовым инициатором? Если да, то зачем? Отдайте iscsi-стор VSA вариному хосту стандартным образом и создавайте на нём vmdk`шки виндовых виртуалок сколько угодно - зачем плодить сущности-то? Тем более, что стандартный инициатор iscsi у винды - штука весьма дискуссионная...
Соответственно, на виртуалках поставьте тот же ТС и зашифруйте им раздел(ы) с данными на vmdk.
Ну или если так уж хочется "централизации", то поставьте ТС на VSA, зашифруйте там LUN-другой и раздайте по NFS - но тоже ТОЛЬКО для хоста, а не для каждой отдельной виртуалки.
* * *
Ну и до кучи - Вы там SSD упоминали. Одиночный?
Если да, то про то, когда он вылетит, я повторяться не буду: захотите - сделаете хотя бы аппаратный R1/R10 (заодно iops`ов прибавится, да и HSD только во благо будет).
Но вот насчёт "рваного I/O"... скорее всего Вы напарываетесь на исчерпание чистых блоков флеша, т.е. на предварительную очистку этих блоков перед записью.
Т.е. Вам нужно по-хорошему взять SSD обязательно с функцией BGC, т.к. судя по всему, сейчас у Вас её у имеющегося SSD нет.
Либо другой вариант - BGC у Вашего теперешнего SSD есть, но заполненность его данными близка к полной (>~80%), что (а так же интенсивность I/O) не даёт BGC нормально отработать очистку "старых" блоков флеша в фоновом режиме.
Тут тоже поможет замена - на SSD с BGC же, но бОльшей ёмкости и размеченного (партиционированного) не на всю ёмкость, а с 30-40%-ным "дисконтом", чтобы BGC успевала отрабатывать.
Это, в общем-то, стандартный метод оптимизации I/O для SSD вне зависимости, локальный ли это стор хоста виртуализации, либо сетевой хранилки.
* * *
Цитата:| у меня 5645 вроде написано что есть поддержка AES, там еще надо чтото в биосе включать? |
Да, надо в биосе пункт "Advanced Encryption Standard New Instructions (AES-NI) " сделать "Enable". |
Всего записей: 90 | Зарегистр. 20-11-2008 | Отправлено: 16:52 01-10-2013 | Исправлено: Umlyaut, 17:02 01-10-2013 |
|
