Redução no desempenho do disco após particionamento e criptografia, isso é muito normal?

Navegue suas respostas
2

Eu tenho um servidor para o qual só tenho acesso remoto. No começo da semana, reparticionei a invasão de 2 discos da seguinte forma: 

Filesystem            Size  Used Avail Use% Mounted on
/dev/mapper/sda1_crypt
                      363G  1.8G  343G   1% /
tmpfs                 2.0G     0  2.0G   0% /lib/init/rw
udev                  2.0G  140K  2.0G   1% /dev
tmpfs                 2.0G     0  2.0G   0% /dev/shm
/dev/sda5             461M   26M  412M   6% /boot
/dev/sda7             179G  8.6G  162G   6% /data

O ataque consiste em 2 discos SAS 15k de 300 GB.

Antes das alterações que eu fiz, ele estava sendo usado como uma única partição raiz não criptografada e hdparm -t / dev / sda estava dando leituras em torno de 240mb / s, o que eu ainda recebo se eu fizer isso agora: 

/dev/sda:
Timing buffered disk reads: 730 MB in  3.00 seconds = 243.06 MB/sec

Desde a repartição e criptografia, recebo o seguinte nas partições separadas:

Não criptografado / dev / sda7: 

/dev/sda7:
Timing buffered disk reads: 540 MB in  3.00 seconds = 179.78 MB/sec

Não criptografado / dev / sda5: 

/dev/sda5:
Timing buffered disk reads: 476 MB in  2.55 seconds = 186.86 MB/sec

Criptografado / dev / mapper / sda1_crypt: 

/dev/mapper/sda1_crypt:
Timing buffered disk reads: 150 MB in  3.03 seconds =  49.54 MB/sec

Eu esperava uma queda no desempenho na partição criptografada, mas não tanto, mas eu não esperava que eu obtivesse uma queda no desempenho das outras partições.

O outro hardware no servidor é:

2 x CPUs Quad Core Intel® Xeon® E5405 @ 2.00GHz e 4GB RAM 

$ cat /proc/scsi/scsi            
Attached devices:
Host: scsi0 Channel: 00 Id: 32 Lun: 00
  Vendor: DP       Model: BACKPLANE        Rev: 1.05
  Type:   Enclosure                        ANSI  SCSI revision: 05
Host: scsi0 Channel: 02 Id: 00 Lun: 00
  Vendor: DELL     Model: PERC 6/i         Rev: 1.11
  Type:   Direct-Access                    ANSI  SCSI revision: 05
Host: scsi1 Channel: 00 Id: 00 Lun: 00
  Vendor: HL-DT-ST Model: CD-ROM GCR-8240N Rev: 1.10
  Type:   CD-ROM                           ANSI  SCSI revision: 05

Eu estou supondo que isso significa que o servidor tem um controlador PERC 6 / i RAID?

A criptografia foi feita com as configurações padrão durante a instalação do debian 6. Não consigo me lembrar dos detalhes exatos e não tenho certeza de como vou encontrá-los?

Obrigado

Atualização:

Ok, parece que eu entrei e particionei e cifrei sem saber todos os detalhes. Este disco realmente precisa de criptografia.

Eu soube agora que as parições devem ser reordenadas com a partição criptografada no final do disco.

Alguém pode me dar alguns conselhos sobre esquemas de criptografia de disco que tenham um bom equilíbrio desempenho / segurança ou me aponte para qualquer tipo de benchmarking que tenha sido feito?

Eu tive um pouco de google e não estou dando muito trabalho. Parece que os Xeons mais antigos simplesmente não são compatíveis com a criptografia de disco AES.

Eu verifiquei outro servidor com um único processador Intel Xeon® X3430 @ 2.40GHz, e eles ainda mantêm 87mb / s, usando exatamente o mesmo esquema de criptografia em uma unidade SATA simples que atinge o máximo de 107mb / s sem criptografia.

Ainda estou investigando o assunto, parece que não é assim tão direto. A maioria dos exemplos dados é para acesso aleatório, que não é o que eu estou procurando. Eu preciso de taxa de transferência bruta em arquivos grandes.

    
por goji 27.06.2012 / 09:44

2 respostas

1

Bem, primeiro é que os discos rígidos são circulares. O primeiro setor está na borda externa do prato e a partir daí os setores se movem para dentro. Para a mesma velocidade de rotação, uma seção de 1,5 "a partir do centro do prato tem um comprimento linear de 4,71". Uma seção 1 "do centro do prato tem um comprimento linear de 3,14". Como a velocidade de rotação do prato é constante, os setores na pista externa podem realizar leituras lineares mais rapidamente ... entre essas duas trilhas de exemplo, a primeira lerá 1,5 vezes mais rápido.

Quando você particiona sua unidade, suas partições não criptografadas que dependem principalmente da velocidade da unidade estão próximas ao final do espaço da unidade. Isso os torna mais lentos do que para o seu primeiro teste que estava perto do início da unidade.

Enquanto isso, sua partição criptografada que depende principalmente da velocidade da CPU para a taxa de transferência (função de descriptografia) está próxima do início / início e, portanto, tem uma leitura de disco mais rápida que não importa, porque a função de criptografia é mais lenta.

Em resumo, essas velocidades fazem sentido para mim. Nos casos em que você tem partições criptografadas e não criptografadas, pode fazer sentido encomendar as partições criptografadas até o final do disco.

    
por 27.06.2012 / 15:27
1

Bem, o Debian padrão usa a criptografia AES por padrão, para responder a essa parte da sua pergunta.

E, como symcbean sugere em seu comentário, obtenha uma ferramenta de benchmarking adequada para medir o impacto no desempenho.

No entanto, não é tão incomum ver sua queda de velocidade de leitura de 250 MB / s para cerca de 50 MB / s. Portanto, a resposta à sua pergunta é "sim, uma queda muito grande é normal na criptografia de partições ... mas use algumas ferramentas de benchmarking melhores para garantir que suas medições sejam precisas".

(E, em geral, você deve pensar duas vezes antes de criptografar um servidor e certificar-se de que tem uma necessidade real antes de infligir isso a você mesmo.)

    
por 27.06.2012 / 14:44

Tags

Apache com mod_perl comendo memória quando ocioso Como limitar a velocidade de download após o primeiro N mb no Squid?