Luks
與加密跨越磁碟的分區相比,使用 cryptsetup 加密整個 NVMe 驅動器是否會使其工作更努力並更快失敗?
我有幾個非啟動 NVMe 磁碟,其數據必須加密。
我一直
cryptsetup
在磁碟本身上執行而不對它們進行分區,然後在devicemapper
設備上創建一個文件系統。是否有某種原因我應該首先對這些磁碟進行分區(在整個磁碟上有一個大分區)並
cryptsetup
在分區上執行?這些磁碟嚴格來說是 a 的一部分zpool
,所以我認為沒有理由對它們進行分區。但我聽說這可能會導致磁槃經歷更多的寫入和更短的壽命。
這種說法有什麼依據嗎?
這種說法毫無意義。
寫入次數的差異在於 LUKS 標頭,對於目前 LUKS 2,最大為 16 MiB。僅在創建加密設備以及添加、更改或刪除密鑰時才會寫入。
所以我想這會使你的驅動器的壽命縮短幾微秒或更短。
是否將加密設備放入分區與驅動器壽命幾乎無關。同樣,區別在於幾次寫入(對 GPT 和備份 GPT),您可以在微秒或更短的時間內測量驅動器壽命的變化,而不是分區。
差異是如此之小,以至於它甚至不值得考慮。然而我們在這裡…
也就是說,有理由進行分區。例如,如果磁碟不包含分區表,某些工具會認為磁碟沒有用於任何用途,這可能會造成混淆並導致管理員意外覆蓋驅動器。如果只有部分驅動器用於加密儲存,您也可以進行分區(例如,驅動器將包含引導卷)。今天早上我可能還沒有回憶起其他原因……