Disk do maleho servriku

[Jan Dušátko]

> SSD disky mozu fakticky pouzivat este vaecsie sektory, mozno aj 8K alebo
16K, ale to skor skrz kompresie a kryptografie, kere niektore dokazu.
interne su SSD disky rozdelene po adresovatelnych blokoch, presne tak ako aj
HDD, alebo aj RAM (hoci tam je to 1 Byte, ale v principe je to adresovatelny
blok, nic ine, ziadna magia).

Dovolim si uvedeni na pravou miru:

1) Interni struktura zavisi na technologii. Adresace probiha po 1 bitu (SLC)
nebo po vice bitech, zpravidla 4 (MLC). Teto strukture se rika bunka (Cell)
2) Bunky se organizuji do radek (column), radky do stranek (page), stranky
se organizuji do bloku, bloky se organizuji do rovin (plane), roviny se
organizuji do LUN. Takhle to zpracovava radic SSD. 

3) Pristupuje se k prekladanym blokum(sektorum) na radic SSD, ten provadi
readresaci, dle statistik vyber mista, kde bude proveden zapis, dopocitani
ECC atd. Nenudi se. Uvedene bloky(sektory) maji mit velikost vychazejici ze
standardu (SATA/SAS/FC ...) u nekterych zarizeni (zvlaste levnejsich) se
stale jeste lze potkat s velikostmi usnadnujici praci radici. Proto je zde
rozdil mezi blokem(sektorem), ktery je poslan na disk a blokem na zarizeni,
blokova velikost zarizeni je diky organizaci znacne zavadejici.

- SSD mohou pouzivat vetsi sektory, ale nepouzivaji. Duvodem je
standardizace a navic nizsi efektivita pri praci s databazemi nez pri
pouziti malych bloku. Velke bloky jsou vhodne jen a pouze pro souborove
systemy. Vyjimkou je prace s nestandardni velikosti bloku, ktera je dana
konstrukci SSD a inteligenci interface.

- u SSD je mozne pouzivat kompresi, ale nepouziva se. Diskuse o tomto
problem je mimo ramec FreeBSD konference

- u SSD je mozne pouzivat sifrovani, zacina se (a je sakra draha). Diskuse o
tomto problemu je mimo ramec FreeBSD konference

Pro vysvetleni. Moderni disky pevne maji docela problem zvladnou sifrovani
(FDE) pomoci AES. Zde je pro splneni FIPS-197 pozadavek:

AES-128-CBC - 10 rund
AES-256-CBC - 14 rund

Pro uvedene se pouziva jak standardni CBC mod, tak nektere z exotickych modu
vytvorenych za ucelem siforvani blokovych zarizeni jako je ESSIV, LRW,
XEX/XTS, CMC/EME (modifikace CBC a ECB), pro ktere je pocet rund mozne najit
ve specifikaci FIPS-197. Nektere tyto mody umoznuji paralelizaci pro vypocet
jedineho bloku (pro 512B blok AES-256-XTS, podporovano I v GELI a patrne
nejvhodnejsi pro sifrovani FS). CMC/EME pouzivaji AES dvakrat.
V soucasnosti nejvykonnejsi AES cipy o kterych vim umoznuji provadet
sifrovani AES-128-CBC pri rychlosti o neco malo vyssi nez 45Gbps, ale jsou
drahe a nejsou urceny pro civilni sector. Cipy na pevnych discich se musi
vejit do par dolaru, rozdil v cene nepresahuje nekolik stovek. Navic, je zde
znacny rozdil mezi FED (coz byva AES s omezenym poctem rund stejne jako
obycejny XOR) a FED-FIPS (obcas take i FIPS compliant a zde je vzdy otazka
ktery FIPS). Podpora FED je navic cca 100 korun oproti cene bez FED, podpora
FIPS-FED je priblizne 500Kc oproti cene bez FED ... a to jenom pro desktop
disky 5600RPM. Navyseni rychlosti otacek (rozumej prenosove rychlosti)
navysuje I financni rozdily. U enterprise disku a disky s vyssi prenosovou
rychlosti dosahuji I rozdilu v tisicu kc. 
U SSD to jeste nedavno byl obrovsky problem, ale pri pouziti nekolika
sifrovacich jednotek, rozumneho rizeni a akceptovani urciteho snizeni
propustnosti je mozne tento problem technicky resit. Ale to uz se bavite o
SSD discich, kde cena nehraje roli. Uvedomte si, ze pokud mate disk
vyzadujici FED-FIPS sifru, musi splnovat jeste standard pro tamperproof -
FIPS-140 atd.

Pokud budete někdo chtit diskutovat o tomto tematu, klidne mi napiste, nebo
se muzeme sejit na 2K6. Obcas tam chodim.

Honza