FreeBSD + ZFS +暗号化？代替？提案？

geom プロバイダーの 1 つを使用して ZFS で暗号化できる必要がありますが、ZFS の下でデバイスを暗号化する必要があります。私はおそらくgeliを設定し、freebsd-zfs型内にgptパーティションを作成してそこから行きます。

両方のソリューション（freebsdとlinux）を実際にテストし、システム管理の時間とパフォーマンスに基づいて自分に合った決定を下すことをお勧めします。

Solaris 11 は ZFS 内での基本暗号化をサポートしています。 BSDに依存しない場合は、考慮する価値があります。非プロダクション用途は無料なので、サポートライセンスを購入しなくても自宅で使用できます。

プールを拡張するには、より多くのvdevを追加する必要があり、より多くのディスクを追加して単一のraidzまたは他のvdevタイプを拡張することはできません。しかし、より多くのvdevを追加し始めると、ZFSはそれらの間のデータをストライプして追加のパフォーマンスを得ることができます。

データ損失についてあまり心配する必要はないと思います。 FreeBSDのGeliは成熟しており、私の経験では完璧です。 Greを最初に選択し、次にZFSを選択します。上。その後、zpoolを使用して、単一のドライブ、ミラーリング、RAID-Zなどの任意の構成でプールを構築できます。

私の経験：

同様の設定を持つFreeBSD 9ホームサーバーがあります。つまり、ドライブ 2 個、ドライブあたり zpool 1 つです。これはUFSではなくZFS-on-root設定です。一方のドライブはシステムで、もう一方のドライブはデータです。データドライブにはフルディスク暗号化がありますが、システムドライブにはありません。 （それができない理由はないと思いますが、追加の複雑さを避けたいだけです。）

私はgeliを使って生のデータドライブを暗号化します。 ZFS（技術的にzpool）は他のブロックデバイスと同様にそれをチェックします。通常の方法で「zpool create ...」を呼び出して、必要に応じてプールにzfsデータセットを作成できます。

私のユースケースでは、パフォーマンスは問題ではありませんでした。私は4GB Atom D520で非常にうまく動作します。光のように高速ではないかもしれませんが（ディスクのみ5200rpm 2.5インチ、低消費電力/騒音）、ホームネットワークサービスに適しています。

この設定は何年も問題なく実行されました。

ZFSのLUKSやGeliなどのフルディスク暗号化（FDE）を放棄すると、ZFSの機能セットを最大限に活用できなくなります。ただし、ZFSをFDEに配置すると機能します。

私は最近、FreeBSD ZFSの専門家からZFSが個々のファイルを見ることができるので、ZFSよりPEFSを使用することをお勧めします。将来的には、PEFS 構成可能フォルダーとファイルを FreeBSD ZFS ライブラリーで構成し、バンドルすることができます。

暗号化の専門家の中には、ディスク全体の暗号化に頼るべきではないと助言していますが、FreeBSDやLinuxでは、異なる暗号化戦略をリンクすることが合理的な戦略であると思います。

例：RAWディスク - > Geli / LUKS（FDE） - > ZFS - >（/ homeの場合）PEFSまたはEncFSを使用したユーザースペース暗号化。このモデルを使用すると、ディスク全体の暗号化が侵害された場合（誰かがリソースと同期している場合は難しいとは限りません）、PEFS / EncFSを使用して最も重要なファイルを保護できます。