Votre superposition n'est pas optimale car placer le raid 5 au-dessus du chiffrement signifie que vous augmentez le nombre d'opérations de chiffrement/déchiffrement de 25 % - puisque 4 * 4 To sont chiffrés.
Lorsque vous mettez le cryptage au-dessus du raid 5, seuls 3 * 4 To sont cryptés.
Le raisonnement derrière cela est le suivant :vous n'avez pas à chiffrer les données de parité (qui occupent 4 To dans votre exemple) de données chiffrées, car cela n'augmente pas votre sécurité.
Votre présomption sur plusieurs processus kcrypt n'est que cela. Lorsque l'on fonde ses décisions sur celle-ci, il s'agit d'une optimisation prématurée qui peut avoir tout à fait l'effet inverse. Votre i7 est assez costaud, incluant probablement même des instructions spéciales qui aident à accélérer AES - et le noyau Linux inclut plusieurs variantes optimisées de primitives cryptographiques qui sont automatiquement sélectionnées lors du démarrage.
Vous pouvez vérifier si les routines optimisées pour votre CPU sont utilisées en regardant /proc/cpuinfo (par exemple, indicateur aes là), /proc/crypto , lsmod (sauf si les modules aes sont compilés dans le noyau) et le journal du noyau.
Vous devez évaluer le débit de kryptd sans impliquer de disques lents pour voir quelle est réellement la limite supérieure (c'est-à-dire sur un disque RAM utilisant iozone).
Pour pouvoir diagnostiquer ultérieurement les problèmes de performances potentiels, il est également utile de comparer la configuration RAID de votre choix sans aucun cryptage pour obtenir une limite supérieure à cette fin.
En plus du sujet de la cryptographie, RAID 5 implique plus d'opérations d'E/S que RAID 1 ou 10. Comme le stockage est plutôt bon marché, c'est peut-être une option pour acheter plus de disques durs et utiliser un autre niveau RAID.
Je ferais Raid 1 + 0 [a2, b2] + [c2, d2], puis LVM sur LUKS.
Exemple
$ sudo mdadm --create /dev/md0 -v --raid-devices=4 \
--level=raid10 /dev/sdb1 /dev/sdc1 /dev/sde1 /dev/sde1
REMARQUE : Le structurer de cette façon créera une bande de miroirs permettant à un maximum de 2 disques de tomber en panne (un dans chaque miroir max) et cela vous donnera un espace total/2 par opposition à raid5 qui est total*~0.75.
Je pense également que ce schéma est nettement plus rapide car RAID5 est connu pour nuire aux performances, mais vous aurez moins d'espace disponible.
Vous pouvez également vérifier le chiffrement, même si je pense que aes-cbc-essiv est la valeur par défaut et raisonnablement rapide, mais vous pouvez utiliser aes-xts-plain qui devrait être plus rapide.