Hallo Leute

Ich habe ein NAS Filer welcher mir ein RAID5 Array über iSCSI zur Verfügung stellt.
Meine Frage ist nun. Ist es gut und auch praktikabel dieses RAID5 Array über iSCSI auf dem Linuxserver mit DM-Crypt und Cryptsetup-LUKS zu verschlüsseln?
Wie ist es wenn eine Platte aus dem Array ausfällt? Komme ich dann immer noch an meine verschlüsselten Daten? Auch wenn ich eine neue Platte als Ersatz in das Array einbaue?



Danke für Eure Meinungen und Erfahrungsberichte

Gruß
Leon

Hat keiner hierzu Erfahrung die er mir geben könnte?

Mach dich auf Wikipedia mal Schlau über RAID und wie das funktioniert. Du wirst feststellen das RAID auf einer anderen Ebene operiert als die Verschlüsselung. IMHO kannt du ein iSCSI Volume problemlos verschlüsseln und dann eine Disk im RAID Verbund tauschen. Und wenn du dir nicht ganz sicher bist, resp. du Zweifel hast, oder einfach generell, würde ich das einfach auch mal testen bevor du los legst.

Auf jeden Fall bin ich der Meinung dass das gehen müsste.

Hi

Danke für Deine Meinung. Ich werde das ganze wohl doch lieber erstmal am WE testen. Das dumme ist halt das ein Raid6 mit 7,5TB immer ganz schön lange braucht um erstellt zu werden.
Aber danke.



Gruß Leon

Jo das stimmt... aber dafür hast du danach Gewissheit... aber eigentlich sehe ich da keine Probleme weil RAID ja auf Block Ebene Operiert. Dem NAS ist es egal welches Filesystem ich auf das iSCSI Device klatsche oder ob ich das auch noch verschlüssle. Aber wie gesagt, das Ganze dann mal testen schadet sicher nicht.

Hi

Danke für Deine Meinung. Ich werde das ganze wohl doch lieber erstmal am WE testen. Das dumme ist halt das ein Raid6 mit 7,5TB immer ganz schön lange braucht um erstellt zu werden.

Geht. Ich hatte so ein Setup schon mal laufen (ohne iSCSI zwar, aber das spielt ja keine Rolle).

Um Zeit zu sparen würde ich für den Test von jeder Platte eine 10-MB-Partition abknapsen und das RAID da drauf aufsetzen.

Reihenfolge:

Physikalische Platten - RAID - dm-crypt - opentarget

Alternativ kannst Du das RAID direkt miit iSCSI exportieren und dm-crypt auf dem Client laufen lassen. Das würde ich davon abhängig machen, wie potent der Server ist.

Geht. Ich hatte so ein Setup schon mal laufen (ohne iSCSI zwar, aber das spielt ja keine Rolle).

Um Zeit zu sparen würde ich für den Test von jeder Platte eine 10-MB-Partition abknapsen und das RAID da drauf aufsetzen.

Reihenfolge:

Physikalische Platten - RAID - dm-crypt - opentarget

Alternativ kannst Du das RAID direkt miit iSCSI exportieren und dm-crypt auf dem Client laufen lassen. Das würde ich davon abhängig machen, wie potent der Server ist.


Ich glaube Du hast mich falsch verstanden. Ich will das dm-crypt vom initiator aus machen.
Vom Server aus gesehen also in etwa so

Physikalische Platten - RAID - openinitiator - dm-crypt

Oder verstehe ich das falsch



Gruß
Leon

Ich glaube Du hast mich falsch verstanden. Ich will das dm-crypt vom initiator aus machen.
Vom Server aus gesehen also in etwa so

Physikalische Platten - RAID - openinitiator - dm-crypt

Oder verstehe ich das falsch



Gruß
Leon

Sorry, ich habe nicht genau genug gelesen. Ich dachte Dein Linux-Rechner sei der Filer.

Für Linux ist ein iSCSI-Volume einfach ein Blockdevice, Du kannst also alles damit machen, was Du mit jedem anderen Blockdevice auch machen kannst, einschließlich beliebige devicemapper darauf aufsetzen. Interessant ist beispielsweise auch die Kombination aus iSCSI und dm-multipath, um das SAN über zwei Switches laufen zu lassen und den SPoF auszuräumen.

So ich habe das ganze nun mal etwas unter die Lupe genommen (einige Tests). Am Ende habe ich mich dazu entschieden (da mein NAS es kann) die Verschlüsselung schon auf dem NAS zu machen. Das RAID6 mit 5x1.5 TB Platten wird nun per iSCSI verteilt und auf meinem Server als Blockdevice eingebunden. Läuft sehr stabil.



Gruß
Leon