Luks

與加密跨越磁碟的分區相比,使用 cryptsetup 加密整個 NVMe 驅動器是否會使其工作更努力並更快失敗?

  • October 1, 2020

我有幾個非啟動 NVMe 磁碟,其數據必須加密。

我一直cryptsetup在磁碟本身上執行而不對它們進行分區,然後在devicemapper設備上創建一個文件系統。

是否有某種原因我應該首先對這些磁碟進行分區(在整個磁碟上有一個大分區)並cryptsetup在分區上執行?這些磁碟嚴格來說是 a 的一部分zpool,所以我認為沒有理由對它們進行分區。

但我聽說這可能會導致磁槃經歷更多的寫入和更短的壽命。

這種說法有什麼依據嗎?

這種說法毫無意義。

寫入次數的差異在於 LUKS 標頭,對於目前 LUKS 2,最大為 16 MiB。僅在創建加密設備以及添加、更改或刪除密鑰時才會寫入。

所以我想這會使你的驅動器的壽命縮短幾微秒或更短。

是否將加密設備放入分區與驅動器壽命幾乎無關。同樣,區別在於幾次寫入(對 GPT 和備份 GPT),您可以在微秒或更短的時間內測量驅動器壽命的變化,而不是分區。

差異是如此之小,以至於它甚至不值得考慮。然而我們在這裡…


也就是說,有理由進行分區。例如,如果磁碟不包含分區表,某些工具會認為磁碟沒有用於任何用途,這可能會造成混淆並導致管理員意外覆蓋驅動器。如果只有部分驅動器用於加密儲存,您也可以進行分區(例如,驅動器將包含引導卷)。今天早上我可能還沒有回憶起其他原因……

引用自:https://serverfault.com/questions/1035956