Hab gerade den Thread nochmal komplett durchgelesen und gebe zu einigem nochmal meinen Senf ab:
Die letzte unbeantwortete Frage im Verkaufsthread war wie ich das Thema "Passwort-Eingabe fuers verschluesselte Raid" geloest habe: ganz simpel eigentlich - das eigentliche OS bootet ganz normal von der SSD. Da kann ich mich dann einloggen und starte ein kleines Script was das dmcrypt aktiviert, lvm rescan macht und die Volumes dann mounted.
Meine Kombi ist ja glaube ich doch schon etwas exotisch, also das System auf einem LUKS-verschlüsselten RAID1 laufen zu lassen und extern freischalten zu wollen. Aber mit Hilfe von Google bin ich auf viele interessante Sachen gestoßen und dabei ist folgendes rausgekommen:
Beide System-HDDs werden paritioniert, eine Parititon mit 512MB, eine mit dem Rest. Dann erstelle ich ein Software-RAID1 mit metadata 0.9 (metadaten ganz am Ende) von den beiden ersten Partitionen -> md0. Und ein weiteres RAID mit normalen Metadaten 1.2 von den beiden hinteren Partitionen ->md1. md0 bleibt unverschlüsselt und wird mit ext4 formatiert, das md1 bekommt eine AES-XTS 512bit Verschlüsselung mit LUKS/dm-crypt. Das verschlüsselte RAID wird dann gemountet und per LVM eine Swap-Partition mit dem 1,3 fachen des RAMs (also gut 10GB) und eine Partition mit dem Rest angelegt, diese wird auch mit ext4 formatiert. XFS läuft hier übrigens absolut besch***en - nur so als Hinweis ;-) Dann kann das System installiert werden, mit Swap auf der Swap-LVM-LUKS-RAID-Partition, / auf der Root-ext4-LVM-LUKS-RAID-Partition und /boot auf der boot-ext4-RAID-Partition. Eine kleine Änderung in Grub sorgt dann dafür, dass das Journaling auch trotz dieser Konfig. funktioniert.
Nun also zum spannenden Teil: In der Initramfs-Ramdisk werden nun alle nötigen Module eingebunden (RAID1, LVM2, LUKS/Cryptsetup + alle dafür nötigen dm-crypt-Module, LAN-Treiber) und dazu baut man dann noch den SSH-Server "Dropbear" ein. Dann kommt noch ein Script aus dem Netz mit in die Ramdisk und ein paar Configanpassungen müssen gemacht werden. Ramdisk und Bootloader neu erstellen, fertig. Ergebnis: Der PC läd das BIOS und dann die Ramdisk. Die Ramdisk startet den Netzwerktreiber, holt sich eine IP und startet Dropbear. Damit kann ich mich dann von außen mit Benutzername und Passwort einloggen. Gleichzeitig startet es Cryptsetup und wartet lokal auf die Passworteingabe. Nun kann man per SSH das Script aus dem Netz starten, welches die dann folgenden Zeichen in die lokale Eingabemaske "wrappt" und kann so das Luks freischalten und den Server booten lassen. Aus der komplexen Lösung wird ein einfaches Ende ;-)
Oder kurz: Via Intel AMT oder Wake-on-LAN den Rechner aus der Ferne anschalten, kurz warten, per SSH einloggen, Passwort für LUKS eintippen, warten, Server benutzen
"Kinderleicht" und trotzdem hoch sicher verschlüsselt
Das System macht out-of-the-box im Schnitt 55-60MB/s über das GBit-LAN.
Ach ja, Performance habe ich in meiner Servererklärung ja gar nicht angegeben: Seit Homeserver 1.0 erreiche ich bei sequentiellen Vorgängen immer Geschwindigkeiten bei denen Gbit-LAN der begrenzende Faktor ist. Also 90MB/s im schlechtesten Fall und gut 110MB/s im Normalfall. Sowohl lesend als auch schreibend. Mit Homeserver 3.0 habe ich noch keine Netzwerkbenchmarks gemacht, die lokalen sprechen aber wieder von ca. 300MB/s und damit Gbit-LAN als begrenzenden Faktor. Lediglich die Anzahl an Creates und Deletes pro Sekunde liegt bei dieser Konfiguration und der Verwendung des XFS-Dateisystems immer extrem niedrig. Immerhin erreiche ich inzwischen wieder 3-stellige Beträge, also ein paar Hundert Creates/Deletes pro Sekunde. Das ist mehr als unter Homeserver 2.x aber weniger als die 5-stelligen Beträge mit ext-Dateisystemen oder ohne LUKS und RAID.
ich meine sowohl raid als auch dmcrypt sind single-threaded
Das gilt nicht mehr ab Kernel 2.6.38, ab da hat dmcrypt Multicore Unterstützung, ausserdem wurden einige Verbesserungen an VFS usw. eingebaut, was die Performance erhöhen sollte.
Ich hab allerdings trotz E8XXX Prozessor keinen Fullspeed über Gigabit Lan und Rsync oder Samba auf ein Dmcrypt Volume. 40 MB/s mit Verschlüsselung und 60 MB/s ohne.
Jip, md-raid und dm-crypt sind inzwischen multi-core-fähig. Mit einem E8400 habe ich über Gbit-LAN per Samba von RAID6 mit dmcrypt (siehe auch "Homeserver 2.x) ohne Probleme >100MB/s "geschaufelt". Und auch jetzt mit dem Core i7-2600 unter Ubuntu 10.04.3 und damit Kernel 2.6.32 erreiche ich noch volle Auslastung von Gbit-LAN.
und ganz wichtig: auf das richtige alignment der 4k Platten achten
Ouh ja, das macht Linux gerade mit fdisk nämlich nicht automatisch und das kann starke Performanceinbußen haben!
fdisk -H 224 -S 56 /dev/sdX
sorgt dafür, dass die Partitionen korrekt ausgerichtet werden in den Standardeinstellungen
Dann noch: Wie siehts mit RAID aus? Macht ein RAID 5 Sinn? Sollte ich dann eine RAID Karte anschaffen?
Ein RAID macht Sinn, bei dem Ausfall einer Platte sind deine Daten dann nicht gleich weg. Daten, die du auf einem RAID löscht, sind aber genau so weg wie wenn man sie auf normalen Platten löscht. Oder wie man auch so schön sagt: RAID erhöht die Datenverfügbarkeit aber nicht die Datensicherheit. Ein bisschen erhöht es wohl auch die Datensicherheit, aber an dem Spruch ist schon was dran. Ein Backup kann das nicht zersetzen. Und ich hab mir schon einmal mein RAID6 komplett beim Benchmarken zerschossen (am Dateisystem vorbei geschrieben und damit wild irgendwelche Blöcke auf den HDDs überschrieben) und einmal mein RAID 1 (Doofer Aufruf von "find", hatte am Ende einen Effekt wie "sudo rm -rf /" oder in Umgangssprache "Format C" ^^). Dann sind trotz RAID alle Daten weg und nur ein Backup hilft dann noch. Aber die erste Stufe - den Ausfall einer HDD - kann ein RAID abfangen und die Daten bleiben da.
Wenn der Windows Server Software-Raid kann wuerde ich vielleicht eher das nutzen,
Jup, kann er. RAID0, RAID1 und RAID5 kann der Windows Server in Software abbilden und ist dabei auch gar nicht mal so unflexibel
Nur installieren AUF einem solchen RAID wird schwer. Also entweder extra Partition oder extra HDD fürs System und dann die Datenplatten zum RAID zusammenfassen.
Grad mal geschaut - ich kann im Bios des ICH9R ein Raid5 ueber alle 6 Disks anlegen. Ich zieh mir grad mal die 180 Tage Trial-Version vom W2k8-Server und teste mal ob ich darauf installieren kann.
[...]
(Ja, das ganze waere im Grunde auch nur ein Software-Raid mit Abhaengigkeit zum Chipsatz. Da ein Windows-System aber bei weitem nicht so stressfrei von einer Hardware auf die andere zu migrieren ist faellt der Vorteil "Hardwareunabhaengig" eines reinen Software-Raids eh weg...)
Damit hast du von allem das negative - die CPU-Auslastung wie beim Software-RAID und die Unflexibilität (besonders bei Hardwareschaden oder Hardwarewechsel) vom Hardware-RAID. Nimm lieber das Software-RAID von Windows oder einen echten (teuren) RAID-Controller. Und nur weil du dein Windows schwer migrieren kannst, heißt es nicht, dass das Windows-RAID auch schwer zu migrieren ist - das kannst du in einem frisch installieren Windows auch wieder zusammenfriemeln ohne Datenverlust. Mit dem FakeRAID dagegen wird es quasi unmöglich das RAID auf andere Hardware zu portieren.
man darf nur nicht den Fehler machen ein grosses (in dem Fall 6*1,5TB=7.5TB Netto) Volume zu bauen, davon kann das Bios des Mainboards nicht booten. Das gleiche Problem wie bei den Festplatten >2TB.
Geht schon. Dann darf man aber nicht mehr das BIOS benutzen sondern muss auf UEFI setzen. Dann funktioniert auch das booten von Partitionen größer als 2TB jeglicher Art. Egal ob RAID oder einzelne HDD.
Ouh ja, ganz wichtiges Stichwort. Wie ich schon sagte - ein RAID ersetzt auf keinen Fall ein Backup. Auch wenn es bei Kapazitäten von 12TB netto wie bei mir schon echt hart ist, eine vernünftige Backup-Lösung zu finden. Nach Überlegungen, die Daten nochmal zusätzlich auf externen HDDs zu lagern und ein paar Sychronisationen mit einem ähnlich dimensionierten Server bei einem Kollegen, hab ich festgestellt dass das alles nicht sooo das wahre ist. Wird alles teuer und ist unflexibel. Wollte dann ein Magnetbandlaufwerk kaufen, aber das wäre auch gehörigst ins Geld gegangen. Was ich nun mache: Crashplan! Das ist ein Dienst in den USA, der eine absolut geile Backupstrategie mit der ebenso guten Software anbietet und zu echt günstigen Preisen unbegrenzten (!) Online-Backup-Speicherplatz inkl. Versioning (aufbewahren vorhergehender Dateiversionen), Verschlüsselung (448bit), blockbasierter Data Deduplication (mehrfach vorhandene Blöcke durch z.B. mehrfach vorhandene Dateien brauchen nur einmal übertragen zu werden) und unbegrenztes Aufbewahren gelöschter Dateien oder alter Dateiversionen. Für gerade einmal ein paar Dollar im Monat. Bei meinem Upstream könnte ich theoretisch ca. 3TB im Monat dort hochladen, mein Internetanbieter (1&1) hat gegen die Datenmenge auch nichts (extra nachgefragt) und der Speicherplatz ist wirklich umlitiert (auch nachgefragt). Weil die Server etwas überrannt werden, liegt die tatsächlich übertragene Menge derzeit immer so bei ~300GB pro Monat. Ungefähr 1,5TB habe ich damit schon in meinem Backupspeicher. Dabei habe ich durch mehrere BackupSets das ganze so eingerichtet, dass meine wichtigen Daten zuerst und regelmäßig gesichert werden, in den freien Zeiten zwischen den Backups werden dann halt die großen und unwichtigen Daten gesendet. Das wichtigste ist also Online wenn mein Server jetzt mal aufgeben sollte. Kann den Dienst nur empfehlen, auch für große Datenmengen! Der Preis ist außerdem so niedrig, dass man bei "High-Power-Upstreams" wie meinen 10Mbit/s VDSL auch mal in Kauf nimmt, dass nur 10-20% ausgenutzt werden. Ein normaler DSL-Nutzer wird davon überhaupt nichts merken.
