Можно ли с помощью LVM сделать онлайн-снапшот для LUKS-тома?

> Скажите, это мне надо руки чинить, или действительно никак?
Когда ты делаешь снапшот у тебя в это время фс смонтирована и есстественно она needs journal recovery.

По хорошему нужно перемонтировать фс в режим R/O
mount -o remount,ro /home
потом сделать снапшот
потом обратно mount -o remount,rw /home
и дальше всё остальное.

если никаких особо меняющихся данных нет на хомяке, то можно тупо сделать sync перед созданием снапшота (хм, а может lvcreate это уже делает?), но это чревато потерей/порчей недавно созданных/изменённых файлов в бекапе.

>> Когда ты делаешь снапшот у тебя в это время фс смонтирована и есстественно она needs journal recovery.

ФС на LV без дополнительных прослоек не требуют восстановления журнала, снапшот делается он-лайн.

>Скажите, это мне надо руки чинить, или действительно никак?

ммм... ну не знаю. сделай dd со снапшота в файл и попробуй дать ему эту самую journal recovery. Может ничего страшного в этом и нет?

>> Может ничего страшного в этом и нет?

Random :)

>>снапшот делается он-лайн.

где-то я это уже слышал

дак что там, кэп, руки или таки не зря хают? ;)

Там второй слой DM. Думаю, это просто не предусмотрено. Онлайн поддерживается для ФС, dm-crypt ею не является. Даже если бы поддерживался dm-crypt, он сам не сможет ничего сделать с ФС, которая над ним.

>> Даже если бы поддерживался dm-crypt, он сам не сможет ничего сделать с ФС, которая над ним.

Об этом мне следовало подумать сразу. Вопрос решён.

>Даже если бы поддерживался dm-crypt, он сам не сможет ничего сделать с ФС, которая над ним.

в zfs с криптованых файловых систем можно делать снэпы/клоны и передавать их на другое хранилище/сервер.

Об этом мне следовало подумать сразу. Вопрос решён.

вывод? ж)

>> с криптованых файловых систем

Ты шифрование уровня ФС от шифрования на уровне блочного устройства отличишь без подсказок? На уровне ФС много чего можно, но я не хочу.

я к тому, что можно же это использовать (у вас поди тоже какие fs умеют, незнаю, под линуксом ниразу небыло надобности). дак почему нет?

Приделанное к ФС это: Reiser4 (известно, в каком оно состоянии); если нету, то будет в Btrfs (там даже on-disk формат не устоялся, смешно говорить о реальном применении в ближайшие годы). Внешние прозрачные: eCryptfs (стековая ФС ядерного уровня с вытекающими отсюда «тонкостями»); EncFS (надёжно, но FUSE). Есть ещё какие-то, но вряд ли их стоит рассматривать. Блочное же шифрование, во-первых, самый надёжный вариант; во-вторых, самый быстрый. Но оно несёт некоторые специфические неудобства, такие как в топике :)

мде, вобщем невесело.

Блочное же шифрование, во-первых, самый надёжный вариант

ну вот смотри - снэп сделать уже проблема )
на zfs можно compress+crypto+dedup и потом делать с этим что хочешь

во-вторых, самый быстрый.

из чего следует?
тот-же ecryptfs выдает только полтора плюса в пользу dm-crypt - «simpler to implement» и «encrypt the entire filesystem, including all of the filesystem metadata» что не всегда есть хорошо, ну и swap когда надо. я тоже соглашусь с ними.

zfs использует solaris cryptographic framework, а потому любой крипто-ускоритель будет подхвачен на лету )

zfs использует solaris cryptographic framework

Оно на FreeBSD работает хоть?

, а потому любой крипто-ускоритель будет подхвачен на лету )

И даже GEOM ELI?

>> ну вот смотри - снэп сделать уже проблема

Ну это я могу пережить, синхронизация делается раз в неделю строго вручную с несколькими контрольными процедурами — можно на это время отмонтировать хомяк без особых неудобств, заодно fsck сделать.

compress+crypto+dedup

Зачем? Вопрос экономии места меня не заботит.

из чего следует?

Тесты в интернетах есть. У меня скорость записи на ext4 поверх dm-crypt с AES-256-CBC-ESSIV почти не отличается от чистой скорости записи диска.

что не всегда есть хорошо

Это всегда есть хорошо.

крипто-ускоритель

С ФСБ-шными зондами не ко мне.

>>> крипто-ускоритель

С ФСБ-шными зондами не ко мне.

Речь ведь о железных акселераторах?

относительно дома все верно.

Это всегда есть хорошо.

да-да, это очень есть хорошо cpu, когда не дома, потому иногда хорошо не все подряд.

С ФСБ-шными зондами не ко мне.

эк у вас там, но не только железные

>Оно на FreeBSD работает хоть?

ну это я думал у тебя спросить )

И даже GEOM ELI?

см п1. bsd использовал во времена 4.x

но по-идее могло бы, одмин-гайд говорит «which gives it access to any available hardware acceleration or optimized software implementations of the encryption algorithms automatically.» я только железно втыкал.

если конечно на bsd это реализовали.

>> относительно дома все верно.

А больше и не нужно, я не ойтишнег ;)

не только железные

Ну это да, без aes_x86_64 всё очень печально ;)

да-да, это очень есть хорошо cpu, когда не дома, потому иногда хорошо не все подряд.

Не распарсил.

> ФС на LV без дополнительных прослоек не требуют восстановления журнала, снапшот делается он-лайн.

device-mapper автоматом делает фриз фс если это ext*.
Попробуй использовать fsfreeze из util-linux.
Не забудь разморозить после снятия снапшота.

>> Попробуй использовать fsfreeze из util-linux.

Нет такой, увы. util-linux: 2.17.2.

В 2.18 уже есть.

cd /usr/src/
wget http://www.kernel.org/pub/linux/utils/util-linux/v2.18/util-linux-ng-2.18.tar.bz2
tar -xf util-linux-ng-2.18.tar.bz2
cd util-linux-ng-2.18/
./configure
make -C sys-utils fsfreeze
cp sys-utils/fsfreeze /usr/local/sbin/

Там тупо ioctl вызывается и всё.

Спасибо. Пока скачивался тарболл, нагуглил man fsfreeze, а там написано:

fsfreeze is unnecessary for device-mapper devices. The device-mapper (and LVM) automatically freezes filesystem on the device when a snapshot creation is requested. For more details see the dmsetup(8) man page.

Ну я и так знал, что для LVM это не нужно, поэтому посмотрел man dmsetup и нашёл там команды suspend и resume. Т.к. cryptsetup это всё тот же DM, этого оказалось достаточно — получился консистентный онлайновый снапшот при заморозке шифрованной ФС :) Правда, при монтировании , в messages появляется нечто вроде:

May  5 09:12:02 persephone kernel: [41349.552127] EXT4-fs (dm-12): 2 orphan inodes deleted
May  5 09:12:02 persephone kernel: [41349.552130] EXT4-fs (dm-12): recovery complete

но в man fsfreeze написано:

Note that even after freezing, the on-disk filesystem can contain information on files that are still in the process of unlinking. These files will not be unlinked until the filesystem is unfrozen or a clean mount of the snapshot is complete.

Т.е. вроде бы всё в порядке.

Ещё раз спасибо, теперь проблема действительно решена.

если конечно на bsd это реализовали.

В FreeBSD это реализовали на уровне провайдера GEOM. Но ZFS ничего не знает о GEOM. ZVOL обгеомить GELI никто не запрещает, но это же неполноценно как-то, не средствами самой ZFS.

> Ну я и так знал, что для LVM это не нужно, поэтому посмотрел man dmsetup и нашёл там команды suspend и resume. Т.к. cryptsetup это всё тот же DM, этого оказалось достаточно — получился консистентный онлайновый снапшот при заморозке шифрованной ФС :

А у меня чего-то не получается с dmsetup.
Замораживаю уже расшифрованное блочное устройство (не крипто-контейнер) и после того как пытаюсь сделать снапшот, у меня lvcreate подвисает в состоянии uninterruptible sleep.

Такая же петрушка если замораживаю крипто-контейнер.

У меня dmsetup и fsfreeze работают с одним и тем же результатом, замораживается, естественно, уже расшифрованная ФС (у меня выше неоднозначная формулировка вышла). Фризить собственно контейнер, как я понимаю, нет смысла, по крайней мере когда работают барьеры для ФС. Возможно, в последнем я не совсем прав.

На всякий случай: ext4, 32-е ядро.

Хм, видимо, раз на раз не приходится — у меня тоже lvcreate завис. После resume его отпустило. Так что, xfs_freeze/fsfreeze FTW (кстати, xfs_freeze с некоторых пор использует стандартные процедуры и успешно управляется с другими типами ФС).