Потоки PGP Whole Disk Encryption на сервере
Я хочу использовать четырехъядерный сервер Xeon 2010 года выпуска для периодического шифрования 500-гигабайтных дисков eSATA. У меня три вопроса:
1) Я предполагаю, что текущая версия WDE полностью многопоточная и пропускная способность масштабируется примерно линейно с количеством ядер?
2) Могу ли я ограничить количество ядер, используемых процессом WDE, чтобы не влиять на другую работу на сервере?
3) Примерно сколько времени я должен ожидать, что каждое шифрование займет?
Кажется, существует противоречивая информация о потоке WDE, даже на сайте PGP KB, где я также задавал этот вопрос (хотя он почти мертв), поскольку многие старые ответы указывают на то, что он не предлагается.
3 ответа
Предполагая, что ваши диски eSATA могут обеспечивать скорость, близкую к стандартной скорости SATA, и вы используете диски со скоростью 7200 об / мин, мы рассчитываем поддерживать скорость 80-100 МБ / с на всем диске в идеальных условиях.
У меня нет никаких подробностей о PGP, но тесты скорости шифрования AES в диапазоне 100-150 МБ / с на ядро для процессоров эпохи 2008 года (3Ghz Core Duo) довольно легко найти [например, этот комментарий slashdot, указывающий 600-700 МГц Pentium M с тактовой частотой 2,13 ГГц для обработки 30 Мбит / с], и я видел аналогичные скорости для более старых процессоров, поэтому я принимаю это за основу. Учитывая, что вы используете существенно лучшие процессоры, чем те, я не сомневаюсь, что одно ядро на вашем сервере легко справится с максимальной пропускной способностью одного диска eSATA.
PGP WDE основан на блоках, что должно помочь пропускной способности достичь этих показателей для конверсии, но действительно ли это действительно зависит от того, как они это реализуют, и я не знаю, хорошо ли они это сделали. В любом случае наилучший результат, который вы могли бы получить, - это полное чтение диска со средней скоростью 100 Мг / с (последовательное чтение блок за блоком) и затем полная запись диска (последовательная запись блок за блоком). Для диска 500 ГБ это будет 1000 секунд или около 17 минут. Это не насытит одно ядро на вашем сервере, даже с учетом загрузки процессора для ввода-вывода диска.
Баланс вероятности состоит в том, что алгоритм преобразования PGP WDE не обрабатывает ввод-вывод так же эффективно, как я предполагал выше, поэтому время, затрачиваемое на шифрование диска, будет значительно больше - вам нужно будет проверить его, чтобы быть уверенным, но я не удивлюсь, если это было на порядок медленнее, и загрузка ЦП для задач шифрования также будет пропорционально ниже.
Последнее замечание: если вы используете процессор класса Westmere (Xeon 56xx), то PGP WDE поддерживает новые инструкции AES-NI, которые должны обеспечить повышение производительности на уровне, превышающем 50%, - см. Эту статью Toms Hardware, где они показывают преимущества для Bitlocker. но выгода PGP WDE должна быть как минимум такой же хорошей.
Отредактировано, чтобы добавить:
Я чувствую, что я не совсем понял это выше - многопоточность не поможет вам в том, что касается преобразования одного диска. Это может немного помочь, если вы планируете запускать несколько дисков параллельно, но если у вас нет аппаратного обеспечения, которое может одновременно обрабатывать множество дисков, ограничения ввода-вывода дисков будут значительно более узким местом, чем загрузка ЦП. Неподтвержденная информация в Интернете [ здесь и здесь, например] о скорости конвертации варьируется от 25 до 50 ГБ в час - я ожидаю, что приличный накопитель eSATA будет быстрее, чем эти примеры, но вряд ли это будет намного лучше, чем 100 ГБ в час.
Наконец, в комментариях к этому сообщению в блоге PGP очень хорошо обсуждается служебная нагрузка ЦП на шифрование диска в целом, что подтверждает тот факт, что ЦП не является основным узким местом, а именно задержки чтения / записи являются основной проблемой.
Несколько очевидных поисков в Google не дали точных ответов на ваши вопросы об этом конкретном продукте, поэтому вот оценка:
1) Не знаю, является ли PGP многопоточным, но если это так, следует ожидать увеличения обработки на 50-80% на дополнительное ядро / процессор. 4 ядра дают вам 400% производительности только для очень специфических рабочих нагрузок, и ожидание данных с диска, которые необходимо записать обратно, не входит в их число.
2) Диспетчер задач позволяет устанавливать приоритеты ЦП для запущенных процессов, так что это как минимум один вариант.
3) Я сильно подозреваю, что накладных расходов будет очень мало. Любой недавний процессор Xeon может выполнять шифрование быстрее, чем некоторые случайные механические диски могут записывать через USB 2.0. Какой именно это процессор? Здесь вы можете увидеть, какие из них имеют аппаратную поддержку шифрования (AES-NI):
Если вы можете менять инструменты, взгляните на Truecrypt
1) Truecrypt сильно распараллелен и линейно масштабируется
2) Вы можете указать количество ядер для использования
3) Что касается скорости, это будет зависеть от того, как вы подключаете диск, количества ядер, которые вы можете сэкономить, используемых алгоритмов шифрования и т. Д. Учитывая имеющееся у вас оборудование, диск io, скорее всего, станет узким местом, даже с подключением sata. Но скачайте его и запустите тест, или зашифруйте диск и убедитесь сами. (Есть портативный режим, так что вам даже не нужно его устанавливать).