[Sammelthread] ZFS Stammtisch

[GrafikTreiber]

Jein, ich meinte damit eher die grundsätzliche Performance und Hardwareunterstützung ohne Bezug auf ZFS. Aber ja, die Verschlüsslung unter Solaris ist eine Krücke. ZFS ist einer der wenigen Gründe warum Solaris überhaupt noch am Leben ist. Ich denke die Übernahme durch Oracle hat das Ende von Solaris eingeleitet. Natürlich wird es die Systeme immer noch in Zukunft geben. Nur Linux zieht immer weiter dran vorbei. Es stecken einfach viel viel mehr Entwickler, Nutzer und Geld hinter Linux als hinter Solaris und dessen offenen Varianten.

 

[Bzzz]

Aber ja, die Verschlüsslung unter Solaris ist eine Krücke.

Das hätt ich noch nicht bemerkt, aber wenn du mal ein Testszenario vorschlagen würdest, an dem ich das nachprüfen kann? Bei mir knallt die Transferrate großer Dateien ähnlich wie bei AG1M an/über die 120 MB/s via Gigabit. Intern natürlich noch ne ganze Ecke höher, trotz RAIDZ2 und Verschlüsselung. Plattenlimitiert, dank Unterstützung von AES-NI ohne wirkliche Unterschiede zum unverschlüsselten Pool.
Vielleicht kommts mir auch nur so vor, aber ich bin der Meinung, dass der LUKS-Kram unter Ubuntu Singlethreaded ist. Kopien innerhalb meiner verschlüsselten System-SSD sind um den Faktor 2-5 lahmer als von/zu einem Solaris-NFS. Da würd ich jetzt eher sagen, dass die Solaris-Implementierung gut und LUKS bescheiden ist.

 

[GrafikTreiber]

Ob bei der Solaris eigenen Verschlüsslung 120 MB/s über Lan kommen ist nicht relevant, das schafft jede Lösung spielend. Das interessante sind eher CPU-Auslastung und der Durchsatz bei Transfers bei Sachen die nicht durch so etwas lächerliches wie 1Gbit-Lan limitiert werden.

Vielleicht kommts mir auch nur so vor, aber ich bin der Meinung, dass der LUKS-Kram unter Ubuntu Singlethreaded ist.

Falsch, es ist multithreaded in aktuellen Kernels.

Kopien innerhalb meiner verschlüsselten System-SSD sind um den Faktor 2-5 lahmer als von/zu einem Solaris-NFS. Da würd ich jetzt eher sagen, dass die Solaris-Implementierung gut und LUKS bescheiden ist.

Da liegt wohl irgendwas anderes im Argen, Stichwort schlechte Konfiguration, falsches Dateisystem, das Problem sitzt hier wohl vor dem Computer. Das dürfte nicht langsamer sein sondern muss eigentlich viel schneller sein.

Schau dir Post #43 in Medienserver an, da habe ich auch Belege. Das Thema wurde aber auch in diesem Thread schon ein paar mal angesprochen, z.B. hier Post #1918 in ZFS Stammtisch.

 

[gea]

Jein, ich meinte damit eher die grundsätzliche Performance und Hardwareunterstützung ohne Bezug auf ZFS. Aber ja, die Verschlüsslung unter Solaris ist eine Krücke. ZFS ist einer der wenigen Gründe warum Solaris überhaupt noch am Leben ist. Ich denke die Übernahme durch Oracle hat das Ende von Solaris eingeleitet. Natürlich wird es die Systeme immer noch in Zukunft geben. Nur Linux zieht immer weiter dran vorbei. Es stecken einfach viel viel mehr Entwickler, Nutzer und Geld hinter Linux als hinter Solaris und dessen offenen Varianten.

Zunächst finde ich es Klasse, dass es mit ZFS das derzeit beste Dateisystem auf BSD, Linux und Solaris gibt. Ich stimme auch zu, dass in Zukunft sicher die Mehrzahl der ZFS Storage Systeme auf Linux laufen wird. Einfach weil die Mehrzahl der Serversysteme jetzt auf Linux läuft und jeder auf der Plattform bleiben möchte, die er nutzt und kennt.

Ich denke aber nicht, dass die Übernahme von Sun durch Oracle das Ende von Solaris eingeläutet hat. Eigentlich sehe ich eher das Gegenteil. Sun hat mit OpenSolaris (der Positionierung als Spielwiese für das künftige kommerzielle Solaris) eher verhindert, dass es eine akzeptierte Plattform für ein freies High-End-Storagesystem wurde. Erst nachdem Oracle OpenSolaris einstellte, gibt es mit dem freien Fork Illumos eine wirklich eigenständige Plattform, die auch kommerziell erfolgreich ist bzw kommerziell weiterentwickelt wird. (z.B. Joyent, Nexenta, Omniti) - völlig unabhängig von Oracle Solaris.

Bis aber Linux für mich als reiner Storageserver attraktiv wird, wird es sicher noch einige Zeit dauern. ZFS ist unter Solaris entstanden und ist da immer noch am stabilsten und am aktuellsten. Auch ist Solaris als "Server-OS mit allem drum und dran von einem Hersteller" für mich viel homogener als Linux und hat mit Projekten wie Solaris CIFS Server, Dtrace, Comstar oder Crossbow Massstäbe gesetzt. Eher würde ich derzeit FreeBSD als bessere Option für einen Storageserver sehen.

Noch gilt aber, Storageserver und High-End ZFS - das ist ein Synonym für Solaris und Co -
auch wenn es im Einzelfall (HA, Verschlüssellung) unter Linux sehr attraktive Optionen gibt.

 

[Bzzz]

Tut mir leid wenn ich dass so sagen muss, aber du bist leider gänzlich uninformiert.
Ob bei der Solaris eigenen Verschlüsslung 120 MB/s über Lan kommen ist nicht relevant, das schafft jede Lösung spielend. Das interessante sind eher CPU-Auslastung und der Durchsatz bei Transfers bei Sachen die nicht durch so etwas lächerliches wie 1Gbit-Lan limitiert werden.

So spielend sicher nicht, weder Windows XP, noch 2003, noch 7 schaffen das bei mir. Out-of-the-box schon gar nicht. Und das bei solchen Lächerlichkeiten wie Gigabit-LAN (dessen Ausnutzung mir vollkommen genügt, denn der einzige Client dran kann auch nicht mehr, und wird auch nie mehr können)

Falsch, es ist multithreaded in aktuellen Kernels.
Da liegt wohl irgendwas anderes im Argen, Stichwort schlechte Konfiguration, falsches Dateisystem, das Problem sitzt hier wohl vor dem Computer.

Danke, ich mag dich auch
In meiner /usr/share/doc/cryptsetup/README.keyctl steht folgendes:

What For?
---------

The current state for dm-crypt in Linux is that it is single threaded, thus
every dm-crypt mapping only uses a single core for crypto operations.
To use the full power of your many-core processor it is thus necessary to split
the dm-crypt device. For Linux software raid arrays the easiest segmentation is to
just put the dm-crypt layer below the software raid layer.

So völlig daneben lag ich also nicht, und ist auch nur ein Teil der Kette Singlethreaded, ist das der Flaschenhals für den Rest.

 

[GrafikTreiber]

So spielend sicher nicht, weder Windows XP, noch 2003, noch 7 schaffen das bei mir. Out-of-the-box schon gar nicht. Und das bei solchen Lächerlichkeiten wie Gigabit-LAN (dessen Ausnutzung mir vollkommen genügt, denn der einzige Client dran kann auch nicht mehr, und wird auch nie mehr können)

Das hat doch noch viel weniger mit der Performance von Verschlüsselung zu tun! Du sprichst gerade vom SMB-Durchsatz, das hat nichts mit Verschlüsselung zu tun. Wenn du via SMB Gigabit-Lan nicht ausreizen kannst wird es mit Verschlüsselung ja wohl kaum besser.
Ich sagte damit nur dass SMB-Durchsatz überhaupt kein Benchmark zum Testen der Leistungsfähigkeit einer Verschlüsselungslösung ist weil SMB durch viel zu viele andere Faktoren limitiert wird, z.B. der Netzwerk-Technik oder der SMB-Implementation. Das ist in etwa so sinnvoll wie zu sagen "Ein Ferrari Enzo fährt genauso schnell wie ein Golf 2!" wenn der Benchmark eine Autobahn mit einer Geschwindigkeitsbegrenzung von 120km/h ist.

Danke, ich mag dich auch

Das hat nichts mit mögen zu tun, ich sag dir einfach wie es ist. Da ist etwas falsch konfiguriert, ganz einfach. Nimm es nicht persönlich, sei froh dass ich so ehrlich bin und es offen ausspreche!

In meiner /usr/share/doc/cryptsetup/README.keyctl steht folgendes:


So völlig daneben lag ich also nicht, und ist auch nur ein Teil der Kette Singlethreaded, ist das der Flaschenhals für den Rest.

Ich sagte aktuelle Kernel. Schau mal auf das Datum der Readme. Ab 2.6.38 ist dmcrypt mit AES multithreaded. 2.6.38 ist aus März 2011, also schon über zwei Jahre alt. Aber ob das multithreaded ist oder nicht ist für unseren Anwendungszweck sowieso nicht so relevant weil bei einem Raid mehrere Laufwerke verwendet werden, und jedes Laufwerk wird über einen eigenen Prozess entschlüsselt. Man könnte also sagen dass selbst früher dmcrypt auch quasi multithreaded war weil jedes Laufwerk seinen eigenen Prozess hatte. Und genau das steht auch im letzten Satz deiner Readme "To use the full power of your many-core processor it is thus necessary to split the dm-crypt device".

 

[ludwinator]

Ich weiss jetzt immer noch nicht von welcher schlechten Perfomance hier gesprochen wird?
Reden wir von Illumos mit lofiadm und ZFS als Workaround oder von Solaris 11.1 mit integrierter Verschlüsselung?

cu

 

[startplus]

Ich weiss jetzt immer noch nicht von welcher schlechten Perfomance hier gesprochen wird?

Von gar keiner.
Bzzz beschreibt eine Lösung die seine definierten Anforderungen erfüllt. Seine Anforderung 1GBit Ethernet, z.B. 1000BASE-T( IEEE 802.3 Clause 40 - früher IEEE 802.3ab), Serverseitig optimal auszunutzen wird erfüllt. Die Verschlüsselung/Entschlüsselung und alle nachfolgend benutzten Technologien scheinen ausreichend schnell den "Netzwerk" Stack mit Daten zu versorgen.
Diese Lösung hat also die optimale Performance. Ausreichend ist ausreichend - mehr Daten gehen nicht über den Draht.

GrafikTreiber beschreibt eine Lösung - Linux basierend - die letztlich auch die Anforderungen: 1GBit Ethernet, z.B. 1000BASE-T( IEEE 802.3 Clause 40 - früher IEEE 802.3ab), Serverseitig optimal auszunutzen erfüllen wird.

Der Aufwand für Installation, Administration und Wartung der benötigten Software wäre ein Punkt sich für Lösung A Oder B zu entscheiden. Der Aufwand für ein OS, welches über Napp-It administriert, dem Klient ein Netzwerklaufwerk zur Verfügung stellt scheint überschaubar. Die Linux Variante wird hier sicher Defizite haben zumal die Release erst vor ein paar Tagen war.

Reden wir von Illumos mit lofiadm und ZFS als Workaround oder von Solaris 11.1 mit integrierter Verschlüsselung?

cu

 

[GrafikTreiber]

Ich weiss jetzt immer noch nicht von welcher schlechten Perfomance hier gesprochen wird?
Reden wir von Illumos mit lofiadm und ZFS als Workaround oder von Solaris 11.1 mit integrierter Verschlüsselung?

Man könnte ja auch einfach mal die verlinkten Beiträge lesen oder einfach mal kurz zurück blättern in diesem Thread, dann würden sich diese Fragen erübrigen.

Wie schon gesagt, die Performance der nativen ZFS-Verschlüsselung ist wirklich absolut unterirdisch. 100% CPU-Last bei mageren Übertragungsraten, siehe: AES-NI accelerated Solaris 11 ZFS encryption on Xeon E3 CPUs inside a VM (ESXi) - [H]ard|Forum oder Zfs encrypted I7 CPU 100% . Und nein, daran kann man nichts ändern. Ich habe dazu ausgiebig recherchiert und viel herum probiert weil ich gerne den SUN-SMB-Server nutzen wollte. Die Performance war auf meiner Hardware ähnlich schlecht, auch mit dem ganz aktuellem Solaris 11 Release von Oracle.

Den Beweis dafür liefern die offiziellen Benchmarks von Oracle welche absolut erschreckend sind. Da müssen zwei 6-Core CPUs im Wert von 2400€ ackern um Werte einer einzelnen 200€ 4-Core CPU unter Windows oder Linux zu erreichen. Ich vermute dass der sehr viel optimierbar ist, aber ob das irgendwann mal getan wird ist eine andere Frage.

Bei der nativen ZFS-Verschlüsselung von Oracle gehen die Übertragungsraten wirklich IMMENS in den Keller und das auch noch bei ständiger 100% CPU-Last!

Unter Linux mit dmcrypt ca. 10-15% Verlust in der Datenrate bei 15-30% CPU-Last.

Die lofiadm-Verschlüsselung ist nett um kleine Dinge zu verschlüsseln, aber nicht unbedingt geeignet um Beispielsweise ein RaidZ2 aus 6 4TB HDDs zu verschlüsseln.
Crypto-Peformance von ZFS: ZFSonLinux/dmcrypt > FreeBSD/Geli > Solaris11 native ZFS-Crypto ab Poolversion 30 > Sparse Encrypted ZFS Pools (lofiadm).
Mit Performance sind Übertragungsrate sowie CPU-Last gemeint. Wenn Lösung A die selbe Geschwindigkeit wie Lösung B schafft, dabei aber 3x mehr CPU-Last verursacht als Lösung B, dann ist natürlich klar das Lösung B performanter ist!

Zum Thema reine SMB-Übertragungsraten gilt, unabhängig von ZFS: Solaris-SMB-Server > Samba unter Linux oder FreeBSD.
Mit der richtigen Konfiguration erreicht man aber auch mit Samba ähnliche Übertragungsraten wie mit dem Solaris-SMB-Server.
Die CPU-Last bei SMB bei beiden Lösungen liegt aber quasi gleich auf, Samba dürfte sogar etwas weniger CPU-Last verbrauchen, das ist nicht so einfach zu vergleichen. Es ist dort aber nicht sowie bei Verschlüsselungen wo wir Unterschiede von 200-500% haben.

 

[startplus]

Man könnte ja auch einfach mal die verlinkten Beiträge lesen oder einfach mal kurz zurück blättern in diesem Thread, dann würden sich diese Fragen erübrigen. Aber nein, es ist ja einfacher zwei Minuten lang einen Beitrag zu schreiben als zu lesen. -_-"

HIER LESEN UND SCHLAUER WERDEN:


Die lofiadm-Verschlüsselung ist nett um kleine Dinge zu verschlüsseln, aber nicht unbedingt geeignet um Beispielsweise ein RaidZ2 aus 6 4TB HDDs zu verschlüsseln.
Crypto-Peformance von ZFS: ZFSonLinux/dmcrypt > FreeBSD/Geli > Solaris11 native ZFS-Crypto ab Poolversion 30 > Sparse Encrypted ZFS Pools (lofiadm).
Mit Performance sind Übertragungsrate sowie CPU-Last gemeint. Wenn Lösung A die selbe Geschwindigkeit wie Lösung B schafft, dabei aber 3x mehr CPU-Last verursacht als Lösung B, dann ist natürlich klar das Lösung B performanter ist!

Zum Thema reine SMB-Übertragungsraten gilt, unabhängig von ZFS: Solaris-SMB-Server > Samba unter Linux oder FreeBSD.
Mit der richtigen Konfiguration erreicht man aber auch mit Samba ähnliche Übertragungsraten wie mit dem Solaris-SMB-Server.
Die CPU-Last bei SMB bei beiden Lösungen liegt aber quasi gleich auf, Samba dürfte sogar etwas weniger CPU-Last verbrauchen, das ist nicht so einfach zu vergleichen. Es ist dort aber nicht sowie bei Verschlüsselungen wo wir Unterschiede von 200-500% haben.

"Den Beweis dafür liefern die offiziellen Benchmarks von Oracle welche absolut erschreckend sind. Da müssen zwei 6-Core CPUs im Wert von 2400€ ackern um Werte einer einzelnen 200€ 4-Core CPU unter Windows oder Linux zu erreichen. Ich vermute dass der sehr viel optimierbar ist, aber ob das irgendwann mal getan wird ist eine andere Frage."

Poste mal noch den Link mit den Windows, Linux Werten. In dem Link geht es nur um einen hausinternen ".....vergleich" unter Solaris.

 

[GrafikTreiber]

Poste mal noch den Link mit den Windows, Linux Werten. In dem Link geht es nur um einen hausinternen ".....vergleich" unter Solaris.

Die unzähligen Reviews über Verschlüsselung und AES-NI in den letzten Jahren in allen möglichen Magazinen und Internetseiten sind dir entgangen? Tut mir leid wenn ich das als Grundwissen wenn wir uns über dieses Thema unterhalten voraussetze.
Google: dmcrypt aes-ni benchmark
Google: truecrypt aes-ni benchmark
Google: bitlocker aes-ni benchmark

 

[trendco]

Backup Strategie

Hallo,

ich bin gerade dabei mir eine Backup-Strategie für meinen Server zu erarbeiten und bräuchte dazu Hilfe/Unterstützung. Ich benutze Nas4Free mit ZFS. Es gibt einen Pool und bisher zwei Datasets. Das eine Datasets wird für normalen Fileserver Betrieb mit SMB/AFP/FTP/etc. benutzt und auf dem anderen Dataset liegen VM's für Proxmox, die per NFS freigegeben sind.
Nun möchte ich nachts meine Daten abwechselnd auf zwei unterschiedliche USB Platten sichern, also in einer Nacht auf USB-Platte-1, in der nächsten Nacht auf USB-Platte-2, in der nächsten wieder auf USB-Platte-1 usw. Die Platten sollen am Abend immer umgesteckt werden und per Zeitschaltuhr gegen 3 Uhr hochgefahren werden. ZFS beitet ja u.a. auch die Möglichkeit von automatischen Snapshots, kann ich dafür irgendwie verwenden? Mit rsync habe ich bisher leider noch keine Erfahrung. Wäre super wenn Ihr mir da helfen könntet das umzusetzen.


Alex

Hallo,

ich muss das Backup Thema leider noch mal aufgreifen, weil ich da immer noch nicht weiter gekommen bin. Ich hole dazu mal ein bisschen weiter aus:

Ich setze bei mir, wie schon erwähnt, Proxmox (Linux/KVM) als Virtiualisierungs-Server ein. Darauf laufen 5 VM's. Jede VM hat eine virtuelle Plattengrösse von ~20 GB. Diese VM's liegen auf einem ZFS-System (nas4free) und werden von dort per NFS an Proxmox freigegeben.
Für das Backup der VM's verwende ich bisher die Proxmox eigene Lösung. Dabei werden dann jede Nacht die kompletten Image Dateien gepackt und auf eine USB Platte weggesichert, was natürlich seine Zeit braucht bei ~100GB. Da sich in den VM's aber nicht täglich zig GB ändern, ist diese Sicherungsart natürlich nicht sehr sinnvoll. Nun war meine Überlegung, die Sicherung auf dem ZFS Server mit Snapshots zu machen um dann nur die Differenzen in der Nacht auf die USB-Platte wegzusichern (wie bereits beschrieben mit 2 Platten im Wechsel). Doch irgendwie peile ich das nicht ganz, denn wenn ich doch die Snapshots aus ".zfs" wegsichere, habe ich ja wieder die "ganze" VM gesichert und nicht nur die Änderungen? Wie könnte ich das denn am sinnvollsten lösen?


Alex

 

[GrafikTreiber]

Mit zfs send und receive. Natürlich müssen dazu Ziel und Quelle ZFS als Dateisystem verwenden.
https://www.google.de/search?hl=de&q=zfs+send+receive
http://www.aisecure.net/2012/01/11/automated-zfs-incremental-backups-over-ssh/
http://docs.oracle.com/cd/E19253-01/820-2313/6ndu3p9cs/index.html
http://portrix-systems.de/blog/brost/zfs-migration-using-incremental-sendreceive/

 

[gea]

"Den Beweis dafür liefern die offiziellen Benchmarks von Oracle welche absolut erschreckend sind. Da müssen zwei 6-Core CPUs im Wert von 2400€ ackern um Werte einer einzelnen 200€ 4-Core CPU unter Windows oder Linux zu erreichen. Ich vermute dass der sehr viel optimierbar ist, aber ob das irgendwann mal getan wird ist eine andere Frage."

Poste mal noch den Link mit den Windows, Linux Werten. In dem Link geht es nur um einen hausinternen ".....vergleich" unter Solaris.

Meine Einschätzung ist, dass die Oracle Ingenieure es nicht hinkriegen sondern dass das im kommerziellen Umfeld schlicht unerheblich ist. Server laufen 24/7 im geschützten Umfeld. Da ist Verschlüsselung einfach unnötig, ja unerheblich, da die Server im Betrieb eh immer offen sein müssen und Performance wichtiger ist. Der Fall, dass jemand einen Server klaut oder die Staatsanwaltschaft Zugriff haben möchte und man das verhindern will, ist irrelevant.

Verschlüssellung wird eher Zuhause oder in Kleinbetrieben eingesetzt - nicht die Zielgruppe von Oracle.

 

[LichtiF]

jupp sehe ich auch so und meine Kollegen in Blau freuen sich auch nicht wenn jeder daheim verschlüsselt

 

[ludwinator]

Man könnte ja auch einfach mal die verlinkten Beiträge lesen oder einfach mal kurz zurück blättern in diesem Thread, dann würden sich diese Fragen erübrigen. Aber nein, es ist ja einfacher zwei Minuten lang einen Beitrag zu schreiben als zu lesen. -_-"

HIER LESEN UND SCHLAUER WERDEN:


Die lofiadm-Verschlüsselung ist nett um kleine Dinge zu verschlüsseln, aber nicht unbedingt geeignet um Beispielsweise ein RaidZ2 aus 6 4TB HDDs zu verschlüsseln.
Crypto-Peformance von ZFS: ZFSonLinux/dmcrypt > FreeBSD/Geli > Solaris11 native ZFS-Crypto ab Poolversion 30 > Sparse Encrypted ZFS Pools (lofiadm).
Mit Performance sind Übertragungsrate sowie CPU-Last gemeint. Wenn Lösung A die selbe Geschwindigkeit wie Lösung B schafft, dabei aber 3x mehr CPU-Last verursacht als Lösung B, dann ist natürlich klar das Lösung B performanter ist!

Zum Thema reine SMB-Übertragungsraten gilt, unabhängig von ZFS: Solaris-SMB-Server > Samba unter Linux oder FreeBSD.
Mit der richtigen Konfiguration erreicht man aber auch mit Samba ähnliche Übertragungsraten wie mit dem Solaris-SMB-Server.
Die CPU-Last bei SMB bei beiden Lösungen liegt aber quasi gleich auf, Samba dürfte sogar etwas weniger CPU-Last verbrauchen, das ist nicht so einfach zu vergleichen. Es ist dort aber nicht sowie bei Verschlüsselungen wo wir Unterschiede von 200-500% haben.

Nun aber mal langsam!
Du enterst hier nach ein paar Monaten Stille deinerseits den Thread hier, nölst wegen Performanceproblemen rum die du offensichtlich nur theoretisch hast und maulst mich an, weil ich nicht jedem deiner Crosspostings bis zu seinem Ursprung folge?
Außer blöden Kommentaren, Verweise auf fremde Federn und pers. Angriffen "... gänzlich uninformiert...", "...Grundwissen..." etc kommt hier nix rüber von dir. Wenn dich Fragen nerven, warum postest du dann hier?
Ich glaube das du ganz andere Probleme hast, bei denen du deinerseits mal nen Profi aufsuchen solltest.

cu

 

[startplus]

Meine Einschätzung ist, dass die Oracle Ingenieure es nicht hinkriegen sondern dass das im kommerziellen Umfeld schlicht unerheblich ist.

Naja von nicht hinkriegen(clear) bis ca. 3Gbyte/s verschlüsselter persistenter Datenablage gibt ja von der Stange Stand: Sep 30, 2011
Ich denke aber die Server kosten mehr als 500 € .

Daher meine Nachfrage nach dem Link wo man nachlesen kann mit welcher 200€ 4-Core CPU man einen permanenten Datenstream von ca. 750 MByte/s auf dem Server verschlüsselt und persistiert und auf was man noch achten muss und machen muss um das System als Storageserver per NFS, SMB, ISCSI, FTP benutzen zu können.
Das Betriebssystem ist mir schnuppe. Bei dem Preis möchte ich das wenigstens mal ausprobieren.

....

MB/sec – 5 File Create*

Encryption Using AES-CCM CiphersMB/sec – 5 File Create* 	Encryption
                                Clear	AES-256-CCM	AES-192-CCM	AES-128-CCM
SPARC T4-2 server	        3,803	3,167	        3,335	        3,225
SPARC T3-2 server	        2,286	1,554	        1,561	        1,594
2-Socket 2.93 GHz Xeon X5670	3,325	750	        764	        773


Speedup T4-2 vs X5670	1.1x	4.2x	4.4x	4.2x
Speedup T4-2 vs T3-2	1.7x	2.0x	2.1x	2.0x

....

Server laufen 24/7 im geschützten Umfeld. Da ist Verschlüsselung einfach unnötig, ja unerheblich, da die Server im Betrieb eh immer offen sein müssen und Performance wichtiger ist. Der Fall, dass jemand einen Server klaut oder die Staatsanwaltschaft Zugriff haben möchte und man das verhindern will, ist irrelevant.

Verschlüssellung wird eher Zuhause oder in Kleinbetrieben eingesetzt - nicht die Zielgruppe von Oracle.

 

[ludwinator]

Hier ist der Stand mit 11.1 vom März 2013 mit Sparc T5-2 und E5-2690 https://blogs.oracle.com/BestPerf/entry/20130326_sparc_t5_2_zfscrypto
Sieht natürlich mit SPARC schon sehr viel besser aus, was also mehr mit suboptimaler Nutzung des Xeon zu tun haben dürfte. Der hat ja schon ohne Verschlüsselung enorm hohe Last.

cu

Nachtrag: https://blogs.oracle.com/BestPerf/entry/20130326_sparc_t5_ucrypto

 

[startplus]

Hallo,

ich muss das Backup Thema leider noch mal aufgreifen, weil ich da immer noch nicht weiter gekommen bin. Ich hole dazu mal ein bisschen weiter aus:

Ich setze bei mir, wie schon erwähnt, Proxmox (Linux/KVM) als Virtiualisierungs-Server ein. Darauf laufen 5 VM's. Jede VM hat eine virtuelle Plattengrösse von ~20 GB. Diese VM's liegen auf einem ZFS-System (nas4free) und werden von dort per NFS an Proxmox freigegeben.
Für das Backup der VM's verwende ich bisher die Proxmox eigene Lösung. Dabei werden dann jede Nacht die kompletten Image Dateien gepackt und auf eine USB Platte weggesichert, was natürlich seine Zeit braucht bei ~100GB. Da sich in den VM's aber nicht täglich zig GB ändern, ist diese Sicherungsart natürlich nicht sehr sinnvoll. Nun war meine Überlegung, die Sicherung auf dem ZFS Server mit Snapshots zu machen um dann nur die Differenzen in der Nacht auf die USB-Platte wegzusichern (wie bereits beschrieben mit 2 Platten im Wechsel).

Frage oder Feststellung?

Doch irgendwie peile ich das nicht ganz, denn wenn ich doch die Snapshots aus ".zfs" wegsichere, habe ich ja wieder die "ganze" VM gesichert und nicht nur die Änderungen?

ist das so oder vermutest Du das?
Ist eine VM auf dem NFS eine Datei oder viele?

Wie könnte ich das denn am sinnvollsten lösen?


Alex

 

[ludwinator]

Die unzähligen Reviews über Verschlüsselung und AES-NI in den letzten Jahren in allen möglichen Magazinen und Internetseiten sind dir entgangen? Tut mir leid wenn ich das als Grundwissen wenn wir uns über dieses Thema unterhalten voraussetze.
Google: dmcrypt aes-ni benchmark
Google: truecrypt aes-ni benchmark
Google: bitlocker aes-ni benchmark

Ne Ansammlung verschiedener Tests mit unterschiedlichster Hardware, die bestenfalls beweisen das AES-NI funktioniert, hilft hier niemandem weiter.
Auch auf die Gefahr hin, das ich mich wieder als unwissend oute: Kennst du auch nen Test, der das auf vergleichbarer Basis zw. ZFS auf Solaris und ZFS auf Linux mit und ohne Verschlüsselung gegenüberstellt?

cu


---------- Post added at 13:21 ---------- Previous post was at 13:19 ----------

Hallo,

ich muss das Backup Thema leider noch mal aufgreifen, weil ich da immer noch nicht weiter gekommen bin. Ich hole dazu mal ein bisschen weiter aus:

Ich setze bei mir, wie schon erwähnt, Proxmox (Linux/KVM) als Virtiualisierungs-Server ein. Darauf laufen 5 VM's. Jede VM hat eine virtuelle Plattengrösse von ~20 GB. Diese VM's liegen auf einem ZFS-System (nas4free) und werden von dort per NFS an Proxmox freigegeben.
Für das Backup der VM's verwende ich bisher die Proxmox eigene Lösung. Dabei werden dann jede Nacht die kompletten Image Dateien gepackt und auf eine USB Platte weggesichert, was natürlich seine Zeit braucht bei ~100GB. Da sich in den VM's aber nicht täglich zig GB ändern, ist diese Sicherungsart natürlich nicht sehr sinnvoll. Nun war meine Überlegung, die Sicherung auf dem ZFS Server mit Snapshots zu machen um dann nur die Differenzen in der Nacht auf die USB-Platte wegzusichern (wie bereits beschrieben mit 2 Platten im Wechsel). Doch irgendwie peile ich das nicht ganz, denn wenn ich doch die Snapshots aus ".zfs" wegsichere, habe ich ja wieder die "ganze" VM gesichert und nicht nur die Änderungen? Wie könnte ich das denn am sinnvollsten lösen?


Alex

Um einen Snapshot zu sichern, musst du mit zfs send "snapshotname" >file oder zfs send "Snapshotname" |zfs recv "Filesystem" arbeiten.
Nachfolgende Snapshots einfach mit zfs send -i "alterSnapshot" "neuerSnapshot" |zfs recv "Filesystem" anfügen.

Siehe http://docs.oracle.com/cd/E19253-01/820-2313/6ndu3p9cs/index.html

cu

 

[Bzzz]

Das hat doch noch viel weniger mit der Performance von Verschlüsselung zu tun! Du sprichst gerade vom SMB-Durchsatz, das hat nichts mit Verschlüsselung zu tun. Wenn du via SMB Gigabit-Lan nicht ausreizen kannst wird es mit Verschlüsselung ja wohl kaum besser.

Wenn ich systemintern (außer bei Benches...) nicht auf die Datenraten komme, dann wirds über SMB natürlich nix. Aber davon abgesehen wirds auch über nen NFS- oder FTP-Server nicht besser. Die furchtbare SMB-Performance ist da nicht der limitierende Faktor.

Ich sagte aktuelle Kernel. Schau mal auf das Datum der Readme. Ab 2.6.38 ist dmcrypt mit AES multithreaded. 2.6.38 ist aus März 2011, also schon über zwei Jahre alt.

Das ist mir doch bums, ich hab ein Ubuntu 13.04 @ 3.8.0-25-generic laufen und da wird das so geshippt. Is ja schön, wenns neuere Versionen gibt, aber wenns nicht mal in Ubuntu per default da ist, dann würd ich keinen Cent drauf wetten, dass Debian das schon drin hat. Oder vergleichen wir jetzt bleeding edge mit normaler Software auf Produktivsystemen?

Aber ob das multithreaded ist oder nicht ist für unseren Anwendungszweck sowieso nicht so relevant weil bei einem Raid mehrere Laufwerke verwendet werden, und jedes Laufwerk wird über einen eigenen Prozess entschlüsselt.

Definiere "unseren". Bei dir von mir aus, bei mir im Serverlein auch. Bei mir im Laptop dagegen nicht, denn da läuft eine Samsung 830 mit LVM und LUKS, und wenn da kein Multithreading geht, dann hängt die Performance an einem Kern des nicht-AES-NI-fähigen C2D P8600. Und der andere langweilt sich, ebenso die SSD.

 

[GrafikTreiber]

Entschuldigung für den langen Beitrag, er hat mich sehr viel Zeit gekostet, aber ich gehe hier auf mehrere Posts auf einmal ein.

Du enterst hier nach ein paar Monaten Stille deinerseits den Thread hier, nölst wegen Performanceproblemen rum die du offensichtlich nur theoretisch hast

Ich nöle nicht "jetzt" darüber sondern habe dass schon letztes Jahr getan. Die Beiträge dazu habe ich auch verlinkt. Diese Aussage zeugt davon dass du meine Posts nicht gelesen hast. Bitte beschwere dich nicht wenn ich dir ankreide nicht ordentlich zu lesen wenn du es auch tatsächlich nicht tust! Was gibt es an

Wie schon gesagt, die Performance der nativen ZFS-Verschlüsselung ist wirklich absolut unterirdisch. 100% CPU-Last bei mageren Übertragungsraten, siehe: AES-NI accelerated Solaris 11 ZFS encryption on Xeon E3 CPUs inside a VM (ESXi) - [H]ard|Forum oder Zfs encrypted I7 CPU 100% .

nicht zu verstehen? Ich habe die angesprochenen Links mal für dich extra groß markiert weil du anscheinend etwas an den Augen hast.

und maulst mich an, weil ich nicht jedem deiner Crosspostings bis zu seinem Ursprung folge?

Wieso Crosspostings zum Ursprung folgen? Ich habe die Beiträge haargenau verlinkt, da muss man nichts verfolgen, ein einziger Klick genügt. Außerdem habe ich zu Threads in anderen Foren verlinkt wo ich keinen einzigen Beitrag selbst verfasst habe, aber du ignorierst diese Verlinkungen ja einfach und wirfst mir vor keine Belege die nicht von mir stammen zu haben?

Außer blöden Kommentaren, Verweise auf fremde Federn und pers. Angriffen "... gänzlich uninformiert...", "...Grundwissen..." etc kommt hier nix rüber von dir. Wenn dich Fragen nerven, warum postest du dann hier?

Mich nerven nicht "die Fragen" sondern die Art und Weise wie du Aussagen hinter fragst die ich mit mehreren Links belege. Das die native ZFS-Verschlüsslung unter Solaris nicht so performant ist wie sie vielleicht sein könnte ist den meisten Lesern hier bereits bekannt durch die vielen Beiträge die wir hier schon zu diesem Thema hatten. Dazu findest du auch etliche Beiträge im Rest des Internets. Ich habe auch zwei Threads zum Hardforum oben verlinkt. Oder willst du mir jetzt unterstellen ich hätte diese Threads und die entsprechenden Antworten gefaket?
Was hinterfragst du als nächstes? Dass die Erde eine Kugel ist? Dass der Mond wirklich existiert und nicht nur eine Projektion der Amerikaner mit einem riesigen Beamer ist?
Wenn du in einem so lange existieren Thread plötzlich anfängst Monate zu vor diskutiere Themen neu aufzurollen und dann die früheren Aussagen ohne irgendwelche neuen Erkenntnisse anzweifelst brauchst du dich nicht wundern wenn man so darauf reagiert.

Ne Ansammlung verschiedener Tests mit unterschiedlichster Hardware, die bestenfalls beweisen das AES-NI funktioniert, hilft hier niemandem weiter.
Auch auf die Gefahr hin, das ich mich wieder als unwissend oute: Kennst du auch nen Test, der das auf vergleichbarer Basis zw. ZFS auf Solaris und ZFS auf Linux mit und ohne Verschlüsselung gegenüberstellt?

Nein, diese "Tests" habe ich selber ausgeführt und von meinem Erfahrungen hier im Forum berichtet. Ich habe mehrfach von der schlechten Performance der Solaris eigenen ZFS-Verschlüsselung gesprochen, in Threads in denen anderen "Experten auf diesem Gebiet" zu Gange waren, z.B. gea, keiner von denen hat dort meine Aussagen angezweifelt, aber nun du oder was?
Nur weil ich keinen tollen Blog-Post darüber gemacht habe sind meine Dinge nun frei erfunden oder was?

So etwas lässt sich gar nicht 1:1 vergleichen weil die Betriebssystem Windows, Linux und Solaris dafür viel zu unterschiedlich sind. Ich bin allerdings der Meinung dass man Anhand der "Ansammlung von verschiedenster Tests" und etwas gesunden Menschenverstand zum selben Ergebnis kommt wie ich.

Wenn du dich für schlauer auf dem Gebiet hältst wie ich, mach doch mal deinen eigenen Test und veröffentliche ihn mit tausenden Graphen auf einem Blog. Wenn du dann nach mehreren Tagen Arbeit nachvollziehbar zu einem total anderen Ergebnis kommst wie ich mit meinem Tage langem Testen verteilt über mehrere Wochen ohne großartig zu dokumentieren überweise ich dir 100€ auf dein Konto, so sehr stehe ich zu meinen Aussagen.

Ich suche immer nach der optimalen Lösung für den jeweiligen Anwendungszweck. Ich habe doch bereits geschrieben dass ich gerne Solaris verwendet hätte weil mir der Solaris-SMB-Server besser gefällt als Samba, aber die Performance grauenhaft ist und niemand dafür eine Lösung hat, wo wir wieder bei den Verlinkungen zum Hardforum wären. Und da nach meinen Tests folgendes

Bei der nativen ZFS-Verschlüsselung von Oracle gehen die Übertragungsraten wirklich IMMENS in den Keller und das auch noch bei ständiger 100% CPU-Last!

Unter Linux mit dmcrypt ca. 10-15% Verlust in der Datenrate bei 15-30% CPU-Last.

heraus gefunden habe, rate ich auch jedem anderen den Stromverbauch, Hitze- und Lautstärke-Entwicklung so wie Performance wichtig sind zum Einsatz von dmcrypt und ZFSonLinux.

Wenn ich systemintern (außer bei Benches...) nicht auf die Datenraten komme, dann wirds über SMB natürlich nix. Aber davon abgesehen wirds auch über nen NFS- oder FTP-Server nicht besser. Die furchtbare SMB-Performance ist da nicht der limitierende Faktor.

Er... ja... muss ich das jetzt verstehen? Genau dass habe ich doch auch gesagt!?

Das ist mir doch bums, ich hab ein Ubuntu 13.04 @ 3.8.0-25-generic laufen und da wird das so geshippt. Is ja schön, wenns neuere Versionen gibt, aber wenns nicht mal in Ubuntu per default da ist, dann würd ich keinen Cent drauf wetten, dass Debian das schon drin hat. Oder vergleichen wir jetzt bleeding edge mit normaler Software auf Produktivsystemen?

Nein tun wir nicht, wie schon gesagt, ab Kernel 2.6.38, der ist schon über zwei Jahre alt. Dein verwendeter Kernel ist sehr aktuell und hat die von mir angesprochenen "Neuerungen" also enthalten. Siehe AES-XTS-PLAIN , dort berichtet jemand im Mai 2011 darüber und liefert auch Tests dazu mit seinem Ubuntu 11.04 System.

Definiere "unseren". Bei dir von mir aus, bei mir im Serverlein auch. Bei mir im Laptop dagegen nicht, denn da läuft eine Samsung 830 mit LVM und LUKS, und wenn da kein Multithreading geht, dann hängt die Performance an einem Kern des nicht-AES-NI-fähigen C2D P8600. Und der andere langweilt sich, ebenso die SSD.

Ah, da kommen wir dem Problem endlich näher! Du bist mir vielleicht ein Kasperchen.
Du weißt schon selber dass es am Fehlen von AES-NI liegt, erwähnst dass aber erst mal reichlich später. Wie schon eben gesagt und auch mit Quellen belegt ist dmcrypt mit AES ab 2.6.38 multi-threaded. Wenn du natürlich irgendeinen Kombinationsverschlüsselung die außer AES noch etwas zusätzliches einsetzt dessen Modul noch nicht multi-threaded ist ist das natürlich auch noch single-threaded. Aber all dies ist völlig uninteressant, denn egal ob irgendein Modul multi-threaded ist oder nicht, du hast ja gar kein AES-NI! Ob die Verschlüsselung nun multi-threaded ist oder nicht ist daher völlig uninteressant weil der Hebel hier sowieso nur sehr gering wäre.

Eine CPU die AES-NI unterstützt schafft meistens das bis zu 8-fache an Durchsatz bei nur nur einem Bruchteil der CPU-Auslastung.
Belege: TrueCrypt - Hardware Acceleration schreibt "Some processors (CPUs) support hardware-accelerated AES encryption,* which is typically 4-8 times faster than encryption performed by the purely software implementation on the same processors. "
Fazit: Mehr Leistungsreserven mit AES-NI - Datenverschlüsselung: TrueCrypt 7.0a im Leistungscheck "Durch AES-NI sinkt die Prozessorlast jedoch deutlich und verschafft dem Rechner damit mehr Leistungsreserven und auf Wunsch auch mehr Sicherheit. "

Der Grund für die schlechte Performance ist also wohl eher deine stark veraltete Hardware und nicht unbedingt deine Konfiguration.
Man sollte sich nicht über schlechte Performance beschweren wenn man Prozessoren verwendet die schon fast 6 Jahre alt (Release Q3/2008) sind. Als nächstes schreibt hier noch einer dass Windows 8 auf seinem Pentium 3 nicht richtig läuft und was Microsoft doch für ein Mist produziert hätte.

 

[Bzzz]

Du weißt schon selber dass es am Fehlen von AES-NI liegt, erwähnst dass aber erst mal reichlich später. Wie schon eben gesagt und auch mit Quellen belegt ist dmcrypt mit AES ab 2.6.38 multi-threaded. [...] Aber all dies ist völlig uninteressant, denn egal ob irgendein Modul multi-threaded ist oder nicht, du hast ja gar kein AES-NI! Ob die Verschlüsselung nun multi-threaded ist oder nicht ist daher völlig uninteressant weil der Hebel hier sowieso nur sehr gering wäre.

Hä? Das ist doch genau der Punkt. Mit ner AES-NI-CPU und wie vorgeschlagen einem Thread pro verschlüsselter Platte isses völlig wurst, ob das Ding innerhalb dieser Einheit noch Multithreaded ist oder nicht, denn jeder Kern ballert eh einen voll ausgelasteten SATA-Port in Echtzeit durch. Hab ich jetzt aber keine Hardwarebeschleunigung, bin ich bei 100-200 MB/s AES-Leistung pro Kern. Da machts, insbesondere bei weniger Platten als CPU-Kernen, sehr wohl einen Unterschied, ob da nun mehrere Threads auf mehreren Kernen ein Laufwerk beackern, oder ob das alles 1:1 läuft und der Rest untätig zuguckt. Und genau diesen Fall hab ich hier auf meiner "uralten" Client-Hardware. Komm mal wieder runter, das einzige Teil, bei dem die Performance tatsächlich besch... ist, ist die Onboard-Grafikkarte. Und das war sie schon bei Markteinführung. Der Rest hat für Gigabit mehr als genug Power.

 

[ludwinator]

@Grafiktreiber
Ich spare mir jetzt einfach den Quote zu deinem Geschwurbel, denn außer heißer Luft (und Zitate, in denen du dich selber zitierst) kommt nichts bei rum.
Nicht ich behaupte etwas, sondern du: Nämlich das ZFS on Linux performanter ist als auf Solaris, insbesondere bei Verschlüsselung. Was du bisher geliefert hast, belegt von diesen Behauptungen gar nichts. Ich wollte das einfach nur hinterfragen und deine Reaktionen mit unzusammenhängenden Links (und seien sie auch noch so groß geschrieben) und entsprechendem Ton spricht Bände. Du hast Tests für dich selbst gemacht und das herausgefunden, leider nicht mehr nachvollziehbar für die Nachwelt. Dann versuche aber auch nicht, anderen deine Meinung als geschriebenes Gesetz zu verkaufen, denn das ist sie einfach nicht. Sie werden auch dann nicht unbedingt richtiger, wenn du versuchst, andere Meinungen zu diskreditieren.
Und nein ich brauche den Test nicht zu machen, denn ich muss weder etwas beweisen oder entkräften, weil ich nichts behauptet habe.

cu

 

[startplus]

Hier ist der Stand mit 11.1 vom März 2013 mit Sparc T5-2 und E5-2690 https://blogs.oracle.com/BestPerf/entry/20130326_sparc_t5_2_zfscrypto
Sieht natürlich mit SPARC schon sehr viel besser aus, was also mehr mit suboptimaler Nutzung des Xeon zu tun haben dürfte. Der hat ja schon ohne Verschlüsselung enorm hohe Last.

cu

Nachtrag: https://blogs.oracle.com/BestPerf/entry/20130326_sparc_t5_ucrypto

Ich nehme 1 T5-2 .... ach packen Sie mal lieber 2 ein.

Hohe Last ist relativ.

"System utilization is reported as %CPU as measured by iostat (smaller is better)" - sicher aber ein Server der nichts macht bringt mir auch nichts...

Bevor das "Powermanagement" auch bei Servern eingeführt wurde musste man es nicht ausschalten. Die CPUs liefen immer mit z.B. 1Ghz Takt. Also immer 100%. Der Idle Prozess verbrauchte jede vom Scheduler bereitgestellte Rechenzeit die nicht sinnvoll an einen anderen Prozess vergeben werden konnte. 100% ist also normal und stellt ansich keine Hohe Last dar. Das er die 100% nicht erreicht ist eher ein Zeichen für warten auf Daten.
Vielleicht muss man dem ZFS gegenüber herkömmlichen Filesystemen von Hause aus mehr Rechenzeit zugestehen(Raid + Filesystem + zig checksummen ...)?
Achtung: Die Werte(Last) bei Sparc verdoppeln sich + 100%!!! - Bei Intel nur +50% ... alles bloss ne Frage der Interpretation.

Im Allgeneinen:
Sobald ein Prozess eine Aufgabe erfüllt, welche nicht das I/O Subsystem benutzt, kann er auch viel Rechenzeit vom Scheduler bekommen. Er muss ja nicht auf die elendig langsame Festplatte warten. Solange der Systemcall kein Zeiger auf die Daten im RAM liefert - lesen erledigt kann weiter gehen - muss der Prozess warten.

Eine Schleife ohne Abbruchbedingung die nichts macht - 100% Last. Im Betrieb praktisch nicht zu merken, ist halt ein Prozess unter vielen.
Interessanter ist der Wert: load z.B. bei w. Der zeigt an wie viele Prozessoren bzw. deren Rechenzeit derzeitig verbraucht werden könnte.

Was noch dazu kommt ist: Sparc/Solaris skalierte schon immer unheimlich gut(die letzte wurde bei uns ca. 2006 ausrangiert, nach 10 Jahren in Produktion) - Das hier ist aber der Hammer der t5...

* Jeder von den beiden CPUs hat 16 Kerne.
* Jeder Kern hat eine Cryptoengine(integrated within pipeline).
* Jeder Kern hat 8 Threads.
* 2 Threads werden parallel pro Kern abgearbeitet
* "The SPARC T5 processor design recognizes that memory latency is truly the bottleneck to improving performance" - das ist doch mal ne Ansage.

http://www.oracle.com/technetwork/s...ion/o13-024-sparc-t5-architecture-1920540.pdf

 

[GrafikTreiber]

@Grafiktreiber
Ich spare mir jetzt einfach den Quote zu deinem Geschwurbel, denn außer heißer Luft (und Zitate, in denen du dich selber zitierst) kommt nichts bei rum.
Nicht ich behaupte etwas, sondern du: Nämlich das ZFS on Linux performanter ist als auf Solaris, insbesondere bei Verschlüsselung. Was du bisher geliefert hast, belegt von diesen Behauptungen gar nichts. Ich wollte das einfach nur hinterfragen und deine Reaktionen mit unzusammenhängenden Links (und seien sie auch noch so groß geschrieben) und entsprechendem Ton spricht Bände. Du hast Tests für dich selbst gemacht und das herausgefunden, leider nicht mehr nachvollziehbar für die Nachwelt. Dann versuche aber auch nicht, anderen deine Meinung als geschriebenes Gesetz zu verkaufen, denn das ist sie einfach nicht. Sie werden auch dann nicht unbedingt richtiger, wenn du versuchst, andere Meinungen zu diskreditieren.
Und nein ich brauche den Test nicht zu machen, denn ich muss weder etwas beweisen oder entkräften, weil ich nichts behauptet habe.

Du bist einfach lese-faul und ziehst daher die falschen Schlüsse. Ich habe meinen Tests in ausreichender Weise beschrieben, das kann jeder einfach nachbauen. Die Links sind sehr wohl Themen bezogen und können als Belege für meine Aussagen heran gezogen werden, dir fehlt es anscheinend aber einfach nur an Lese- und Recherche-Kompetenz.

Tun wir uns also einfach beide einen Gefallen: Lassen wir das Thema nun gut sein. Jeder Leser hier kann selbst entscheiden was er die zur Verfügung gestellten Informationen hier bewertet. Die einen Lesen vielleicht mal und verschaffen sich ein umfassendes Bild, andere Leute, so wie du beispielsweise, ignorieren einfach sämtliche Verlinkungen, führen keine eigenen Tests durch und reimen sich in Gedanken ihr eigenes Bild zusammen. Suum cuique, jedem das seine.

 

[ludwinator]

Durch deine weiteren Beleidigungen wird dein Bullshit leider immer noch nicht richtiger.
Ich hab schon mal kompetente Sachen von dir gelesen aber nicht in diesen Tagen.
Ich finde auch es langt jetzt hier, dieser Thread ist für die Leser zu wertvoll.

 

[GrafikTreiber]

Schön dass wir zu einer Einigung kommen ludwinator.

Hä? Das ist doch genau der Punkt. Mit ner AES-NI-CPU und wie vorgeschlagen einem Thread pro verschlüsselter Platte isses völlig wurst, ob das Ding innerhalb dieser Einheit noch Multithreaded ist oder nicht, denn jeder Kern ballert eh einen voll ausgelasteten SATA-Port in Echtzeit durch. Hab ich jetzt aber keine Hardwarebeschleunigung, bin ich bei 100-200 MB/s AES-Leistung pro Kern. Da machts, insbesondere bei weniger Platten als CPU-Kernen, sehr wohl einen Unterschied, ob da nun mehrere Threads auf mehreren Kernen ein Laufwerk beackern, oder ob das alles 1:1 läuft und der Rest untätig zuguckt. Und genau diesen Fall hab ich hier auf meiner "uralten" Client-Hardware. Komm mal wieder runter, das einzige Teil, bei dem die Performance tatsächlich besch... ist, ist die Onboard-Grafikkarte. Und das war sie schon bei Markteinführung. Der Rest hat für Gigabit mehr als genug Power.

Du vergisst dabei eine Sache zu erwähnen: Es geht nicht nur rein um den Durchsatz sondern auch um die CPU-Last dabei. Um auf die mickrigen 100-200 MB/S zu kommen von denen du schreibst ist die CPU nahe zu vollständig ausgelastet und alle anderen Aufgaben in der Zeit wie z.B. Browser, Office-Anwendung, Videoschnitt... haben in der Zeit keine freihen CPU-Ressoucen und laufen deshalb sehr langsam.
Wenn die CPU AES-NI hätte, würde sie wohl an die 800-1000 MB/s machen und das nur bei geringer CPU-Last, andere Anwendungen werden so kaum beeinflusst.

Grundsätzlich würde ich heutzutage keine Festplatten-Verschlüsselung mehr ohne AES-NI machen, der Performance-Verlust wäre mir da einfach viel zu groß. Aber muss ja jeder selbst wissen ob ihm eine flüssigere Arbeitsweise die Neuanschaffung wert ist. Ich würde den Umstieg von einer CPU ohne AES-NI auf eine mit AES-NI ungefähr genau so groß bewerten wie den Umstieg von einer HDD auf eine SSD als Systemlaufwerk. Das System arbeitet einfach wesentlich flüssiger und zügiger, ich habe mich damals sehr gefreut als die neuen AES-NI CPUs heraus kamen.
Glücklicherweise haben ja nun fast alle aktuellen CPUs AES-NI so dass sich die Frage bei neuen Geräten nicht mehr stellt.

 

[trendco]

Frage oder Feststellung?ist das so oder vermutest Du das?
Ist eine VM auf dem NFS eine Datei oder viele?

pro VM ist es eine Datei mit ~20GB.

 

[startplus]

pro VM ist es eine Datei mit ~20GB.

OK, ändert sich ein Zeichen in der VM, ändert sich auch die Imagedatei.
Frage an Wissende:
Wenn das OS beim planen/machen eines neuen Snapshots eine Änderung der Datei im Vergleich zum letzten gemachten Snapshot feststellt wird:
* die Datei wieder komplett neu geschrieben?
* oder nur die Änderungen in der Datei - wie auch immer -festgehalten/geschrieben?

---------- Post added at 15:04 ---------- Previous post was at 14:46 ----------

pro VM ist es eine Datei mit ~20GB.

Ansonsten ist Amanda Network Backup: Open Source Backup for Linux, Windows, UNIX and OS X beim Backup mein Favorit.