LUKS 암호화를 사용할 때 NVMe 성능이 저하됩니다.

Question

참고: 이 벤치마크는 메모리만 사용하며 참조용으로만 사용됩니다. 이것으로는 실제 스토리지 암호화 속도를 직접 예측할 수 없습니다.

출력의 첫 번째 줄도 이에 대한 힌트를 제공합니다 cryptsetup benchmark(강조):

root@archiso ~ # cryptsetup benchmark                                                                  
# Tests are approximate using memory only (no storage IO).
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
PBKDF2-sha1      1875806 iterations per second for 256-bit key
...

이것이 바로 실제 스토리지 계층에서 이러한 차이를 볼 수 있는 이유입니다 dd. 파일 시스템 유형과 마운트 옵션 자체가 자체 오버헤드를 추가합니다.예를 들어zstd 레벨 1 소프트 압축을 사용하는 Btrfs에서:

root@archiso ~ # hdparm -t /dev/nvme0n1 
/dev/nvme0n1:
 HDIO_DRIVE_CMD(identify) failed: Inappropriate ioctl for device
 Timing buffered disk reads: 4658 MB in  3.00 seconds = 1552.45 MB/sec

# cryptsetup luksFormat  /dev/nvme0n1p2
# cryptsetup open --allow-discards !$ luks

# hdparm -t /dev/mapper/luks
/dev/mapper/luks:
 HDIO_DRIVE_CMD(identify) failed: Inappropriate ioctl for device
 Timing buffered disk reads: 3638 MB in  3.00 seconds = 1212.52 MB/sec

# mkfs.btrfs --label btrfs -m dup --csum xxhash /dev/mapper/luks
# mount -t btrfs -o noatime,ssd,compress=zstd:1,autodefrag /dev/disk/by-label/btrfs /mnt
# dd if=/dev/zero of=/mnt/test oflag=direct bs=128k count=32k
32768+0 records in
32768+0 records out
4294967296 bytes (4.3 GB, 4.0 GiB) copied, 7.76791 s, 553 MB/s

압축하지 않으면 귀하와 비슷한 결과를 얻습니다.

# rm /mnt/test
# umount /mnt
# mount -t btrfs -o noatime,ssd,autodefrag /dev/disk/by-label/btrfs /mnt 
# dd if=/dev/zero of=/mnt/test oflag=direct bs=128k count=32k
32768+0 records in
32768+0 records out
4294967296 bytes (4.3 GB, 4.0 GiB) copied, 6.35182 s, 676 MB/s

이는 Intel 코어 i5-10210U 프로세서와 2x4G LPDDR3 2133 MT/s Samsung 메모리를 갖춘 Intel 660p 512G NVMe 드라이브에 있습니다. 소프트웨어 암호화의 이점을 누리기 위해서는 NVMe 스토리지의 성능을 너무 많이 포기해야 한다는 점은 정말 안타깝습니다.

Cloudflare는 몇 가지 작업을 수행했습니다.Linux 디스크 암호화 가속화어느Linux 5.9에 병합그리고일반적으로 5.10.9에서 사용 가능, 하지만 있습니다보고서실제로는손상 성능저장이 포함되면 내 사용 사례에서 이를 확인할 수 있습니다.

소프트웨어가 최신이라고 가정하면 다음을 사용할 수 있습니다.cryptsetup open그리고:

--perf-no_read_workqueue,--perf-no_write_workqueue

dm-crypt 내부 작업 대기열을 우회하고 읽기 또는 쓰기 요청을 동기식으로 처리합니다.

노트:이러한 옵션은 낮은 수준의 dm-crypt 성능 조정에만 사용되며 기본 dm-crypt 동작을 변경해야 하는 경우에만 사용해야 합니다. 커널 5.9 이상이 필요합니다.

위의 Reddit 링크에서는 읽기 옵션을 활성화하고 쓰기 옵션을 무시할 것을 권장합니다. 언제나 그렇듯, 테스트하고 벤치마킹해야 합니다!

Answer 1

~에서cryptsetup 벤치마크매뉴얼 페이지: