The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Cloudflare подготовила патчи, кардинально ускоряющие дисковое шифрование в Linux

29.03.2020 10:57

Разработчики из компании Cloudflare рассказали о проведении работы по оптимизации производительности дискового шифрования в ядре Linux. В результате были подготовлены патчи для подсистемы dm-crypt и Crypto API, позволившие в синтетическом тесте более чем в два раза поднять пропускную способности при чтении и записи, а также в два раза снизить задержки. При тестировании на реальном оборудовании накладные расходы от шифрования удалось снизить практически до уровня, наблюдаемого при работе с диском без применения шифрования данных.

Cloudflare использует dm-crypt для шифрования данных на накопителях, используемых при кэшировании контента в CDN-сети. Dm-crypt работает на уровне блочного устройства и выполняет шифрование запросов ввода/вывода на запись и расшифровку запросов на чтение, выступая в роли прослойки между блочным устройством и драйвером файловой системы.

Для оценки производительности dm-crypt при помощи пакета Flexible I/O tester было произведено измерение скорости работы с шифрованными и незашифрованными разделами на RAM-диске, размещённом в ОЗУ для исключения флуктуаций производительности дисков и фокусировании на производительность кода. Для незашифрованных разделов производительность чтения и записи держалась на уровне 1126 MB/s, но при включении шифрования скорость снизилась в 7 раз и составила 147 MB/s.

Вначале возникло подозрение в использовании неэффективных алгоритмов в криптосистеме ядра. Но в тестах использовался наиболее быстрый алгоритм aes-xts с 256 ключом шифрования, производительность которого при выполнении "cryptsetup benchmark" более чем в два раза выше, чем полученный при тестировании RAM-диска результат. Эксперименты с флагами dm-crypt для тюнинга производительности не дали результата: при использовании флага "--perf-same_cpu_crypt" производительность даже уменьшилась до 136 MB/s, а при указании флага "--perf-submit_from_crypt_cpus" возросла лишь до 166 MB/s.

Более глубокий разбор логики работы показал, что dm-crypt не так прост как кажется - при поступлении от драйвера ФС запроса на запись, dm-crypt не обрабатывает его сразу, а помещает в очередь "kcryptd", которая разбирается не сразу, а при наступлении удобного момента. Из очереди запрос отправляется в Linux Crypto API для выполнения шифрования. Но так как Crypto API использует асинхронную модель выполнения, шифрование также производится не сразу, а минуя ещё одну очередь. После завершения шифрования dm-crypt может пытаться выполнить сортировку ожидающих запросов на запись, используя дерево поиска red-black. В конце отдельный поток ядра опять с определённой задержкой подхватывает накопившиеся запросы ввода/вывода и отправляет их в стек блочного устройства.

При чтении вначале dm-crypt добавляет в очередь "kcryptd_io" запрос на получение данных с накопителя. Через какое-то время данные становятся доступны и помещаются в очередь "kcryptd" для расшифровки. Kcryptd отправляет запрос в Linux Crypto API, которые расшифровывает информацию в асинхронном режиме. Запросы не всегда проходят по всем очередям, но в худшем сценарии запрос на запись оседает в очередях до 4 раз, а запрос на чтение до 3 раз. Каждое попадание в очередь приводит к возникновению задержек, которые и являются ключевой причиной значительного снижения производительности dm-crypt.

Применение очередей обусловлено необходимостью работы в условиях возникновения прерываний. В 2005 году, когда была реализована текущая модель работы dm-crypt на основе очередей, Crypto API ещё не был асинхронным. После перевода Crypto API на асинхронную модель выполнения стала применяться, по сути, двойная защита. Очереди также вводились для экономии потребления стека ядра, но после его увеличения в 2014 году данные оптимизации потеряли актуальность. Дополнительная очередь "kcryptd_io" была введена для преодоления узкого места, приводящего к ожиданию выделения памяти при поступлении большого числа запросов. В 2015 году дополнительно была введена фаза сортировки, так как запросы шифрования на многопроцессорных системах могли завершаться, не соблюдая порядок отправки (вместо последовательного доступа к диску, осуществлялся доступ в случайном порядке, а также неэффективно работал планировщик CFQ). В настоящее время при использовании SSD-накопителей сортировка потеряла смысл, а планировщик CFQ уже не используется в ядре.

Учитывая то, что современные накопители стали быстрее и умнее, система распределения ресурсов в ядре Linux была пересмотрена, а некоторые подсистемы переработаны, инженеры Cloudflare добавили в dm-crypt новый режим работы, избавленный от использования лишних очередей и асинхронных вызовов. Режим включается отдельным флагом "force_inline" и приводит dm-crypt к форме простого прокси, шифрующего и расшифровывающего поступающие запросы. Взаимодействие с Crypto API было оптимизировано явным выбором алгоритмов шифрования, работающих в синхронном режиме и не использующих очереди запросов. Для синхронной работы с Crypto API был предложен модуль, позволяющий использовать FPU/AES-NI для ускорения и напрямую пробрасывающий запросы шифрования и расшифровки.

В итоге удалось при тестировании RAM-диска более чем в два раза поднять производительность dm-crypt - производительность возросла с 294 MB/s (2 x 147 MB/s) до 640 MB/s, что очень близко к производительности голого шифрования (696 MB/s).

При тестировании нагрузки на реальных серверах новая реализация показала производительность очень близкую к конфигурации, работающей без шифрования, а включение шифрования на серверах с кэшем Cloudflare никак не повлияло на скорость отклика. В дальнейшем Cloudflare планирует передать подготовленные патчи в состав основного ядра Linux, но перед этим их потребуется переработать, так как они оптимизированы для определённой нагрузки и не охватывают все области применения, например, шифрования на маломощных встраиваемых устройствах.



  1. Главная ссылка к новости (https://blog.cloudflare.com/sp...)
  2. OpenNews: Выпуск Cryptsetup 2.3 с поддержкой шифрованных разделов BitLocker
  3. OpenNews: Проблема с потерей данных на SSD при использовании ядра Linux 5.1, LVM и dm-crypt
  4. OpenNews: Google представил механизм Adiantum для быстрого шифрования накопителей
  5. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  6. OpenNews: Значительное обновление файловой системы Bcachefs
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52630-dm-crypt
Ключевые слова: dm-crypt, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (137) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (?), 11:13, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Должна же быть хоть какая-то польза от Cloudflare!
    Круто, конечно. Но уже vera.
     
     
  • 2.4, Аноним (4), 12:02, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Так не бывает что компания что выпускает только гуано вдруг вы...пустила бриллиант. Скорее маркетологи и всякие другие личности могут такое внушить, но правдой это не станет.
     
     
  • 3.93, Аноним (93), 18:18, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Не надо путать продукты, на которых компания зарабатывает, и их контрибьюшены в опенсорс. Второе делается инженерами для решения собственных задач, а опенсорс так устроен, что передать патч в апстрим выгоднее, чем поддерживать его самостоятельно.
     
     
  • 4.100, Аноним (100), 19:51, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    От осинки не родятся апельсинчики. На тот же системд посмотрите. Да даже и на Гном 3.  
     
     
  • 5.118, Аноним (118), 02:24, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это вы щас Леню инженером назвали?
     
  • 5.119, Аноним (118), 02:26, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И, да, CF нанимает хороших инженеров. А уж какие им задачи ставят - это не к ним.
     
     
  • 6.128, нах. (?), 15:52, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    бросьте, хороших инженеров, проектировавших хорошие печки для сжигания унтерменшей - вешали, невзирая на то, что задачи ставили не они.

    Пора бы этот урок уже и усвоить за больше чем пол-века.

     
     
  • 7.136, Шизик (?), 18:30, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какой урок? Ты сейчас выдал какую-то чушь не имеющую отношение ни к тематике ни к истории
     
  • 7.142, serg (??), 08:20, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%BA
     
  • 2.14, нах. (?), 12:42, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –13 +/
    а какая тут может быть польза? И зачем мне шифровать - ramdisk?

    Что на самом деле происходит на ssd и тем более на нормальных дисках - осталось загадкой. Рискну предположить, что ничего особенно хорошего.

     
     
  • 3.21, Аноним (21), 12:56, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    ram-диск использовался в тесте, чтобы устранить иные факторы, влияющие на производительность, ктоме шифрования. На современных быстрых SSD скорость скорость последовательных операций может быть 4 ГБит/с, а рандомных - 600-700 МБит/с. Поможет ли зашифрованным разделам, расположенным на них, ускорение с 130 МБит/с до 600, думайте сами.
     
     
  • 4.28, Аноним (21), 13:14, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    s/Бит/Байт/g конечно же, пардон.
     
  • 4.69, хотел спросить (?), 15:36, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а рандомных - 600-700 МБит/с. / MБайт


    для одного потока блоками 4K не больше 200, если речь идет об Optane

    и не более 50 MB/s если это NAND

    слишком много читаете рекламных буклетов

     
     
  • 5.80, Аноним (21), 16:28, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так никто не заставляет ограничиваться одним потоком, правда? У меня сейчас в компе SSD, который 800 kiops 4k-блоком выдает.

    P. S. Замерил с QD = 1, получилось 82 kiops (330 Мб/с). Так что рекомендую разморозиться и ознакомиться с возможностми современного железа.

     
     
  • 6.108, хотел спросить (?), 21:41, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эффект Даннинга-Крюгера во всей красе А потоков то сколько И чем измеряно А т... большой текст свёрнут, показать
     
     
  • 7.111, Аноним (21), 22:36, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, действительно, эффект Даннинга-Крюгера - в вашем случае. Я-то в этом собаку съел.

    > А потоков то сколько? И чем измеряно? А точно без кеша?

    Используется libaio, так что кол-во потоков перпендикулярно, важна глубина очереди (не знаете, почему - изучите, что такое асинхронный ввод/вывод.). Измерено fio.
    Точно без кеша благодаря O_DIRECT.

    Из того, что вы привели, ближе всего Samsung 970 Evo, (62 kiops против 82) но это уже пройденный этап. Смотрите современные диски на PCI-E 4.0 на контроллере Phison PS5016-E16.

    Производительность SATA-дисков к вопросу не относится

    > Короче не дорос еще, чтобы что-то рекомендовать.

    Если вы о себе, то это точно.

     
     
  • 8.113, хотел спросить (?), 00:06, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален это скорость в MB s, что будет около 15000 IOPS наивный ... большой текст свёрнут, показать
     
     
  • 9.120, RNZ (ok), 04:22, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Оставлю тут, просто что-бы было Intel SSDPE21D280GA READ io 4096 0MB, aggrb 23... текст свёрнут, показать
     
     
  • 10.135, хотел спросить (?), 17:45, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ну так SSDPE21D280GA это 900 серия Optane Второй это NA... текст свёрнут, показать
     
     
  • 11.137, RNZ (ok), 19:27, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не требовалось комментировать Запостил же в подтверждение твоих слов ... текст свёрнут, показать
     
  • 8.124, anonymous (??), 10:37, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если говорить про эффект Даннинга-Крюгера, но лично я привык видеть, что хорошие... текст свёрнут, показать
     
  • 4.81, нах. (?), 16:43, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > ram-диск использовался в тесте, чтобы устранить иные факторы, влияющие на производительность

    к сожалению, при этом "устранили" еще и факторы, влияющие на нее по разному в случае рамдисков и в случае обычных дисков.

    Причем - без попыток их померять или хотя бы оценить. Рамдиску-то нет разницы, последовательный у вас доступ или параллельный, большие там блоки или мелкие.

    В результате, не станет ли вашему ssd только хуже из-за отказа от block reordering - а вот хз.
    А hdd - полагаю, таки непременно станет.

    Клаудфлерь эти проблемы, видимо, не волнуют, но вы-то - не клаудфлерь.

     
     
  • 5.126, Аноним (126), 13:04, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В такие моменты видно истинную сущность псевдоэкспертов опеннета Узнай что тако... большой текст свёрнут, показать
     
  • 4.88, Anonimous (?), 17:15, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    конечно поможет, ини приблизили скорость к максимально возможной, которая, как указанно в статье, ограничена в большую очередь производительностью голого шифрования (696 MB/s).
    Хочешь больше скорости - не используй шифрование.
     
  • 2.74, AnonPlus (?), 16:18, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    VeraCrypt на NVME-накопителях роняет скорость и иопсы в пол.

    https://github.com/veracrypt/VeraCrypt/issues/136

    впрочем, это неважно, поскольку VeraCrypt вообще не умеет шифровать системный раздел в Linux, и нужда в dm-crypt никуда не девалась

     
     
  • 3.77, Константавр (ok), 16:24, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никогда не понимал нужды шифровать корень. Можете просветить, зачем? Не шутки ради, я действительно не знаю. Для десктопа не достаточно зашифровать хомяк? А для сервера... Сервера же никто не шифрует, да? Или тоже, только чувствительную информацию. Или не так?
     
     
  • 4.82, нах. (?), 16:47, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну как - дал товарищмайору пару минут повертеть свой "десктоп" на... в руках - опа, в корневом разделе у тебя уже не совсем то, что было раньше. Теперь после твоего логина - у товарищей в руках будет не только твой хомяк, но и твои пароли - от всего.

    > Или не так?

    разные модели угроз - разные подходы к шифрованию.
    Но если у тебя вся информация на сервере - чувствительная - нет смысла делать исключения для корня, поскольку риски в любом случае возрастут, а бонус неясен.


     
     
  • 5.114, alienjust (ok), 00:35, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    С зашифрованным рутом после т-ща майора тоже можно попасть в неловкое положение.
    В любом случае нельзя загружаться в систему после доступа посторонних к машине.
    Лучше всего использовать бэкапы для доступа к данным.

    На крайний случай перенести хранилище на другую систему и вытаскивать ценные данные.

     
     
  • 6.116, JL2001 (ok), 01:08, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > С зашифрованным рутом после т-ща майора тоже можно попасть в неловкое положение.
    > В любом случае нельзя загружаться в систему после доступа посторонних к машине.
    > Лучше всего использовать бэкапы для доступа к данным.
    > На крайний случай перенести хранилище на другую систему и вытаскивать ценные данные.

    с учётом биоса, интелМе, каких-нить железных чипов напаяных на коннектор юсб - железо на выброс,  после загрузки в ливсидюк содержимое шифрованного винта не расшифровывая в другую систему по сети

    хотя может на сам винт ничего и не напаяют.... с другой стороны у винта есть доступ к DMA - чего б и не напаять?

     
     
  • 7.117, JL2001 (ok), 01:11, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> С зашифрованным рутом после т-ща майора тоже можно попасть в неловкое положение.
    >> В любом случае нельзя загружаться в систему после доступа посторонних к машине.
    >> Лучше всего использовать бэкапы для доступа к данным.
    >> На крайний случай перенести хранилище на другую систему и вытаскивать ценные данные.
    > с учётом биоса, интелМе, каких-нить железных чипов напаяных на коннектор юсб -
    > железо на выброс,  после загрузки в ливсидюк содержимое шифрованного винта
    > не расшифровывая в другую систему по сети
    > хотя может на сам винт ничего и не напаяют.... с другой стороны
    > у винта есть доступ к DMA - чего б и не
    > напаять?

    но вообще да, сейчас проще в карман коробок с коронавирусом подкинуть, и придётся всё рассказывать, иначе станешь (био)террористом

     
  • 6.129, нах. (?), 15:56, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да, но это когда ты точно знаешь, были или не были на твоем диске посторонние.
    И что - носить загрузочную флэшку в кармане? А ночью на шею вешать, чтоб чего не вышло?

    Поэтому иногда - таки проще пошифровать все целиком и не париться/париться но не об этом.

     
  • 4.84, anonimous (?), 16:58, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот смотри. Ты зашифровал хомяк, я получил доступ к твоему диску, подменил тебе бинарник cryptsetup'а. Твои действия?
     
     
  • 5.89, Константавр (ok), 17:16, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Действительно, не подумал. Да. Глупость сморозил.
     
     
  • 6.96, InuYasha (?), 19:04, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо. Действительно, не подумал. Да. Глупость сморозил.

    а девствительно, надо бы какой-нить sfc /all при старте запускать до маунта.

     
     
  • 7.103, вендузоед (?), 19:59, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    брат по разуму, ты палишься.

    Только вот попутно - подумай, а что помешает товарищмайору тебе и sfc подменить?

    Раз уж он вообще на тебя потратился, а не сразу отправил в 329ю комнату вспоминать все пароли от всего.

     
     
  • 8.141, InuYasha (?), 13:00, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    на самомм деле, это всегда то, чего с первого дня хочется в линуксе так apt же... текст свёрнут, показать
     
  • 5.106, JL2001 (ok), 20:42, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну вот смотри. Ты зашифровал хомяк, я получил доступ к твоему диску,
    > подменил тебе бинарник cryptsetup'а. Твои действия?
    > ток надо незабывать грузиться со своей флешки, и без промежуточных загрузчиков на винте

    загрузчики могут так же подменить как и cryptsetup

    биос перепрошить и подменить немного сложнее
    но "если у кого-то есть физический доступ к вашему устройству - это больше не ваше устройство"

     
     
  • 6.107, Аноним84701 (ok), 21:32, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно проверять загрузчик раздел, загружая сам проверяльщик с вставляемого RO-... большой текст свёрнут, показать
     
     
  • 7.115, JL2001 (ok), 00:40, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Но вообще, это только на опеннете шифрование в первую очередь видят как
    > защиту от угрозы со стороны тов. майора, АНБ, рептилоидов и заодно
    > Тайного Мирового Правительства.
    > А основная масса пользователей (в том числе и корпоративных), защищает себя от
    > рвания волос на мягком месте и срочной смены всех паролей и
    > доступов при утере, краже "соседним Васяном" или банальном забывании ноута в
    > электричке/автобусе и т.д ;-)

    я бы подменил загрузчик + осьевые файлы и вернул бы ноут
    мне б потом реверсссш бы пришёл через какой-нить днс-туннелинг

     
     
  • 8.122, Crazy Alex (ok), 05:50, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то именно для такого сценария злые корпорасты сделали Secure Boot и компа... текст свёрнут, показать
     
     
  • 9.123, JL2001 (ok), 10:27, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    мне что-то мешает перепрошить чип биоса через хардварный прошивальщик ну кроме ... текст свёрнут, показать
     
     
  • 10.131, AnonPlus (?), 16:08, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    TPM помешает, У TPM один из регистров как раз таки контролирует содержимое проши... текст свёрнут, показать
     
  • 8.125, Аноним84701 (ok), 11:45, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И изменил бы хэш ... текст свёрнут, показать
     
  • 6.130, AnonPlus (?), 16:04, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для защиты от подмены загрузчика есть SecureBoot, который дурачки считают зловредным изобретением майкрософта. Загрузчик будет подписан моим ключом.

    А для защиты от подмены ключа есть TPM, которую дурачки тоже считаются зловредным изобретением DRM-шиков.

    Таким образом, как только ты попытаешься изменить хотя бы бит в прошивке (загнать туда свои ключи или какой-то вредоносным модуль) или в загрузчике - то зашифрованный накопитель превращается в тыкву, потому что регистры TPM уже изменились из-за твоего вмешательства.

     
  • 3.95, InuYasha (?), 19:02, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а смысл шифровать систему? вот как раз на мелкий ССД накатил систему и оставил, а важный сторадж можно и отдельно поверить и примонтировать.
     

  • 1.2, funny.falcon (?), 11:25, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Читал в оригинале. Пересказ на русский пробежал по диагонали, но вроде вполне близко к оригиналу.
    Так что, автору новости спасибо!
     
     
  • 2.78, Аноним (78), 16:26, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В XXI веке хвастаться, что у тебя английский не ниже Intermediate - это как хвастаться, что в 30 лет сам себе жопу без посторонней помощи вытираешь.
     
     
  • 3.102, Аноним (102), 19:56, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    что-то ты хватил. речь не об этом, а об авторе новости
     

  • 1.3, Аноним (4), 12:00, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –21 +/
    И упрощает расшифровывание сторонними недоброжелателями. А что удобно. И номинальные требования по шифрованию соблюдены.
     
     
  • 2.13, Аноним (13), 12:32, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    От количества очередей, в которых оседал запрос, стойкость шифрования не зависит.
     
  • 2.18, anonymous (??), 12:46, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы о чём вообще?
     
     
  • 3.51, Аноним (51), 14:20, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Неправильный вопрос. Правильный - кто?
     
  • 3.70, хотел спросить (?), 15:36, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    он наверное о том что Cloudflare доверять нельзя
     

  • 1.5, Fracta1L (ok), 12:09, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    И чоб бородатые энтузиасты-онархисты делали без клятых корпораций?
     
     
  • 2.6, Аноним (6), 12:16, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Онархисты применили двоемыслие и стали анкапами, так что всё сходится.
     
     
  • 3.12, Аноним (12), 12:32, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Онархисты
    > бороться с запретами
    > запрещать рыночные отношения

    /0

     
     
  • 4.22, Аноним (22), 12:57, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они не называют это "запретом рыночных отношений".

    Согласно догматам их веры, от рыночных отношений может возникнуть только мелкий и средний бизнес, а крупные компании возникают только под воздействием государства.

     
     
  • 5.27, Fracta1L (ok), 13:11, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Анкапы весьма странные типы, живут в каком-то своём мирке
     
     
  • 6.31, Аноним (22), 13:22, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да это по факту те же комми, просто догматы веры чуть-чуть другие. Но суть та же — отрицание естественного для человека стремления к выгоде по пути наименьших затрат. Постулируется, что все будут честно вести бизнес/работать на заводе, когда можно просто украсть/ограбить.
     
     
  • 7.38, Аноним (12), 13:34, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Напоминаю, что анархо-коммуняки выросли в среде хиппарей и прочих бородатых смузихлебов, размахивающих красным флагом и выкрикивающих бессвязные лозунги,

    а анкап вырос в академической среде Австрийской Экономической Школы. Два принципиально разных течения, а отдельных местных индивидов-критиканов смутила омонимичность этих двух слов "анархизм".

    Вот еще пример абсолютно разных понятий под единым словом: https://ru.wikipedia.org/wiki/Ключ

     
     
  • 8.41, Аноним (22), 13:44, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вне зависимости от того, кто где вырос, оба этих течения опираются на одну и ту ... текст свёрнут, показать
     
     
  • 9.55, Аноним (12), 14:26, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На эту аксиому опираются только анархо-коммуняки Ну а в анкапе никаких розовых ... текст свёрнут, показать
     
  • 7.56, Fracta1L (ok), 14:27, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а это по факту те же комми, просто догматы веры чуть-чуть другие

    Согласен. У комми центральная догма - "сознательность" индивида, у анкапов - полная рациональность мышления, всеведение и способность в одно лицо ликвидировать полчища агрессоров. А по сути, и у тех, и у других священная вера в то, что люди должны быть одного формата, а кто не вписывается - должен рипнуться.

     
     
  • 8.58, Аноним (58), 14:42, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И ты среди них https www opennet ru openforum vsluhforumID3 120111 html 65 ... текст свёрнут, показать
     
     
  • 9.71, Fracta1L (ok), 15:39, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я даже не хочу спрашивать, как ты одно связал с другим, тут явная шизофрения ... текст свёрнут, показать
     
  • 8.99, Крал Мракс (?), 19:44, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ, вы как-то плохо читали мой величайший труд не говоря уже о нашем Маниф... текст свёрнут, показать
     
     
  • 9.105, Fracta1L (ok), 20:06, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я по-джентельменски сгладил формулировку ... текст свёрнут, показать
     
  • 2.29, Lex (??), 13:14, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    анархисты, скорее, против государства как такового, нежели против корпораций..
     
     
  • 3.49, Аномномномнимус (?), 14:03, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Анархисты, чаще всего, про то что в идеале люди способные к самоорганизации могли бы решить большинство вопросов более эффективно чем их "решает" государство и прикорытные.
     
     
  • 4.57, Michael Shigorin (ok), 14:34, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Анархисты, чаще всего, про то что в идеале

    А в реале -- просто бесноватые.
    Хотя в аду-то как раз тоже иерархия своего рода.

     
     
  • 5.112, Аноним (112), 23:34, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любите вы, Михаил, о других по себе судить.
     
  • 5.121, Аноним (-), 04:23, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    за собой следи, шизоид
     
  • 2.32, Коровавирус (?), 13:24, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     

     ....ответы скрыты (19)

  • 1.7, Аноним (7), 12:18, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Ну тоесть линуксоиды наконец-то осилили хардварную фичичу проца AESNI.
     
     
  • 2.101, Аноним (100), 19:52, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь и от Клаудфлер.
     

  • 1.8, Аноним (8), 12:21, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что у FreeBSD с этим?
     
     
  • 2.10, BSDun (?), 12:27, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все пользователи и разработчики BSD вымерли...
     
     
  • 3.34, A.Stahl (ok), 13:26, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Внесите Изена!
     
     
  • 4.39, Аноним (22), 13:35, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Он неоднократно повторял, что не очень активно пользуется FreeBSD, потому что рабочий софт у него на винде.
     
     
  • 5.46, A.Stahl (ok), 13:57, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Унесите Изена!


     
  • 2.11, Fracta1L (ok), 12:30, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 3.16, нах. (?), 12:43, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –8 +/
     
     
  • 4.19, Fracta1L (ok), 12:51, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 5.33, Аноним (22), 13:24, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
  • 6.42, Аноним (-), 13:45, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 6.67, zzz (??), 15:28, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
  • 3.17, анонн (ok), 12:45, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 4.24, аноннн (?), 13:02, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.36, анонн (ok), 13:33, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.43, аноннн (?), 13:50, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.26, Аноним (22), 13:09, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.30, Lex (??), 13:18, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 5.35, Аноним (22), 13:28, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.50, нах. (?), 14:15, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 7.98, Аноним (-), 19:43, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 8.110, нах. (?), 21:47, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 5.45, нах. (?), 13:57, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.132, Lex (??), 16:28, 30/03/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.134, нах. (?), 17:37, 30/03/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.40, Аноним (-), 13:39, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.60, Аноним (58), 14:47, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 4.63, Разработчик_из_Редхата (?), 14:59, 29/03/2020 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.64, zzz (??), 15:11, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какое отношение имеет файловая система к подсистеме дискового шифрования? Аналог dm-crypt во фрюхе - GELI. Хейтеры уже совсем крышей двинулись.
     
  • 2.15, нах. (?), 12:43, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    geli работает. кушать не просит, о случаях внезапного превращения в тыкву - сведений не поступало.

    эффективность никто не меряет, потому что она либо достаточная, либо кто-то выбрал не ту технологию.

     
     
  • 3.20, Fracta1L (ok), 12:52, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > эффективность никто не меряет

    Потому что нафиг никому не сдалась, кроме бородатых колупателей застарелых угрей XD

     
     
  • 4.65, zzz (??), 15:14, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Привет из 2013-ого года:

    Enc drive 128k write  521MB/sec
    Enc drive 32k write   486MB/sec
    Enc drive 4k write    200MB/sec

    https://www.ixsystems.com/community/threads/encryption-performance-benchmarks.

    Аналогичных результатов суперпрогрессивный и суперпроизводительный линукс достиг только в 2020-ом году.

     
     
  • 5.85, нах. (?), 17:02, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.ixsystems.com/community/threads/encryption-performance-benchmarks.
    > Аналогичных результатов суперпрогрессивный и суперпроизводительный линукс достиг только
    > в 2020-ом году.

    нам тут про 600 вроде врали? Понятно, что результатов достиг не линукс, а ssd, но интересно было бы посмотреть все же на реальный тест, а не на gzero.

     
  • 4.97, Анончик (?), 19:42, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы потом на досуге посмотрите в код. Если сможете оценить читаемость и архитектуру то очень удивитесь.
     
  • 3.23, Аноним (22), 13:00, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > geli работает. кушать не просит,

    Позвольте вам не поверить.

    > о случаях внезапного превращения в тыкву - сведений не поступало.

    Конечно, ведь вы не пробовали ставить ZFS поверх GELI. У вас всё и на NTFS прекрасно работает.

     
     
  • 4.37, Аноним (22), 13:33, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну и для полноты картины процитирую свой комментарий выше (а то господин анонн так громко стучал, что всю ветку скрыли)

    > Что интересно — они походу не в курсе, что разработчики ZFS on Linux реализовали встроенное в ZFS шифрование, и с переходом FreeBSD на ZoL оно стало доступно и на Фре. Поэтому проповедуют GELI (ха-ха, явно не пытались измерять производительность ZFS на нём).

     

     
     
  • 5.47, Аноним (-), 13:58, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну и для полноты картины процитирую свой комментарий выше (а то господин
    > анонн так громко стучал, что всю ветку скрыли)
    >> Что интересно — они походу не в курсе, что разработчики ZFS on Linux реализовали встроенное в ZFS шифрование, и с переходом FreeBSD на ZoL оно стало доступно и на Фре. Поэтому проповедуют GELI (ха-ха, явно не пытались измерять производительность ZFS на нём).

    Просто в новости речь не о ФС, а о подсистеме шифрования dm-crypt. И более-менее прямой аналог такой подсистемы в БСД - это как раз GELI, а шифрование в ФС тут никаким боком не уперлось. Но ламерье не в курсе таких "нюансов" - некогда ламерью матчасть изучать, ему минусики с плюсиками проставлять нужно, да что-то про Белендорфа ввернуть =)

     
  • 5.53, нах. (?), 14:24, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Что интересно — они походу не в курсе, что разработчики ZFS on Linux реализовали встроенное в
    >> ZFS шифрование, и с переходом FreeBSD на ZoL оно стало доступно и на Фре.

    стало бы, если бы этот убогий порт, проталкиваемый парой дельфиксовых рабов, вообще собирался.

    Но пока, к сожалению - только в мечтах л@ап4атых. И это хорошо, потому что выпиливать из ядра прочие вредные и опасные артефакты, притащеные из ZoL - я немножечко заманался.

     
  • 4.44, нах. (?), 13:50, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> geli работает. кушать не просит,
    > Позвольте вам не поверить.

    простите что оскорбил ваши религиозные чуйства. Нет Б-га кроме Линуса, и Но7оед пророк его!

    > Конечно, ведь вы не пробовали ставить ZFS поверх GELI.

    чего его пробовать-то, zfs как zfs. Берешь и ставишь.

    Тут некоторые граждане вообще делились п-цомой вида "и поверх всей этой хрени нарезано zvol'ов, в которых живут виртуалки с вантузом б-гопротивным под bhyve". (Что внутре - не признались, но полагаю, не шибко ошибусь, предположив что так прячут чорную-пречорную 1С. Правда, я не понял, зачем им шесть штук.)

    На момент дележа - работало.


    > У вас всё и на NTFS прекрасно работает.

    да, так как-то:
    /dev/sda1       3.7T  203M  3.7T   1% /mnt
    /dev/sda1 on /mnt type fuseblk (ro,relatime,user_id=0,group_id=0,default_permissions,allow_other,blksize=4096)

    - похоже, новый гуанокластер будет взлетать прямо в таком виде. Зато легко чинить, когда накроется.

     
  • 2.48, Аноним (48), 14:01, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У фрибсд все прекрасно с GELI и AESNI
     
     
  • 3.52, нах. (?), 14:22, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У фрибсд все прекрасно с GELI и AESNI

    кстати, а вот это - я бы рекомендовал тестировать.
    Были звоночки, что одновременное использование geli, aesni.ko и zfs в сочетании с попытками подергать то же самое из userspace - приводят к... хм... интересным результатам.

    (в том случае- человек старался эти самые результаты получить, но где гарантия, что у вас не еще более извращенный случай)


     
     
  • 4.59, Аноним (7), 14:44, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Более 10 лет пользуюсь. Нет проблем вообще.
     
     
  • 5.86, нах. (?), 17:04, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Более 10 лет пользуюсь. Нет проблем вообще.

    главное, не апгрейди (у нас работающий aesni.ko - с 2013го, и по крайней мере одной мелкой проблемы в твоей "более десяти лет" нету ;-)

     
  • 4.94, bOOster (ok), 18:19, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Каков администратор - таков и результат.
    Если голова из жопы то и результат тудаже.
     
  • 2.92, bOOster (ok), 18:18, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насколько во фряхе все это стройно и красиво в GEOM GELI, настолько пропорционально коряво в Лине.
     

  • 1.66, Кокосяночка (?), 15:19, 29/03/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (2)

  • 1.68, Аноним (68), 15:34, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ясно-понятно, на обычных HDD всё это будет тормозить нещадно.
     
     
  • 2.76, AnonPlus (?), 16:21, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    HDD и так тормозит, по сравнению с SSD. Без всякого шифрования.
     
     
  • 3.139, Аноним (139), 20:21, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ничё не тормозит. Линейная скорость под 300 мегабайт в секунду, самое то под данные. У ссд саташных в районе 600. Вот случайное чтение это ад. Зато могу назвать явное преимущество hdd перед ssd - удаление файлов мгновенное. На компиляции всяких там браузеров заметно, ссд очень медленно файлы удаляет. Весь профит от быстрого io куда-то исчезает сразу, поэтому ссд можно пользоваться, только если удалять файлы в процессе не надо.
     

  • 1.72, ksa242 (?), 15:51, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Игаркин докладывал на USENIX, что этот патч только для amd64 и его AES-NI, ускоряет только aes-xts и проигрывает в скорости на больших объёмах данных штатному режиму с очередями.
     
     
  • 2.83, нах. (?), 16:52, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Игаркин докладывал на USENIX, что этот патч только для amd64 и его
    > AES-NI, ускоряет только aes-xts и проигрывает в скорости на больших объёмах
    > данных штатному режиму с очередями.

    опачки... а можно ссылку или хотя бы, блин - год?!

     
     
  • 3.87, ksa242 (?), 17:10, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Игаркин докладывал на USENIX, что этот патч только для amd64 и его
    >> AES-NI, ускоряет только aes-xts и проигрывает в скорости на больших объёмах
    >> данных штатному режиму с очередями.
    > опачки... а можно ссылку или хотя бы, блин - год?!

    Имя опять напутал, пардон. Игнат Корчаги это был на USENIX-овской Vault '20:
    https://www.youtube.com/watch?v=gqpUXGV8XXg

     
     
  • 4.90, нах. (?), 17:43, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а, спасибо, вот, так сказать, для разнообразия, и первоисточник.

    И начинается сразу же с оговорочки что "мы тут не про немодные-немолодежные rotating disks", то есть эта сторона вопроса вообще сразу отброшена за ненадобностью. Ооок.

    А на 20:24 и вовсе сеанс разоблачения магии :-(

    Ну и "померьте сами и сообщите нам результат". И только опеннетовские эксперты, как обычно, готовы расшибить лоб - "cloudflare не может быть неправа!" - а мерять реальные сетапы низачем не надо.

    Главное - святая вера.


     

  • 1.73, Аноним (73), 15:57, 29/03/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

  • 1.91, Аноним (91), 17:57, 29/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "дерево поиска red-black"
    А "красно-чёрное дерево" уже расово неверно? =)
     
     
  • 2.109, Аноним (109), 21:46, 29/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А "красно-чёрное дерево" уже расово неверно? =)

    "Косыночное" дерево было бы, наверное, более понятно на современном русском.

     

  • 1.127, letsmac (ok), 14:19, 30/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сначала - 7 раз. Потом в 2 раза на RAM диске. Потом на системе "Реальное оборудование". ИМХО гора мышь родила - ничего прям такого не сделали и графики загрузки CPU не привели. Ну сделали очередную полку жрущую все процессоры.
     
     
  • 2.133, нах. (?), 16:39, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ИМХО гора мышь родила - ничего прям такого не сделали

    ~пятикратное ускорение на своей специализированной олимп...задаче - получили, а чеготакова ты хотел от них? Для себя ж старались.

    > и графики загрузки CPU не привели.

    смотри:

    100%  --------------------------------
    ...
    0%

    потому что если процессор этим тестом загружен не на 100%, то какую нёх ты тогда тестируешь?

    > Ну сделали очередную полку жрущую все процессоры.

    1. для того и брали.
    2. разница - в количестве байтиков при том же числе "всех", перемалываемых этой полкой

    нам с тобой - да, особой пользы не будет, потому что вряд ли дядя нам подарит миллион терабайт ssd, а на rotating дисках эта штука, скорее всего, будет медленнее чем вариант с очередями (очереди перемалываются процессором в разы быстрее, чем диск жует байты - у него есть на это достаточно времени)

     
     
  • 3.138, letsmac (ok), 19:28, 30/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > смотри:
    > 100%  --------------------------------
    > ...
    > 0%
    > потому что если процессор этим тестом загружен не на 100%, то какую
    > нёх ты тогда тестируешь?

    Так процессор загружен в 100% при любой синхронной задаче. Природа такая у компа - поэтому и сделали нормальные очереди. А тут реально сделали даунгрейд и начали этим гордиться.

     

  • 1.140, Аноним (140), 12:17, 31/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пока коммерческая шарага не сделает, опенсорс и не подумает. Так и будут сидеть довольные со своимим 100мбит/с и говорить что все работает
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру