Снова нырну в кроличью нору. На этот раз о дисковом шифровании ZFS. Удивительно, что это не включено по умолчанию, но я новичок, так что потерпите. Можно выполнить следующее, чтобы включить шифрование: zfs create \ -o encryption=on \ -o keyformat=passphrase \ -o keylocation=prompt \ tank/backups-encrypted. Предполагаю, что это связано с некоторыми накладными расходами, что, вероятно, и является причиной того, что оно не включено по умолчанию?
Я создал шаблон Windows и при запуске `sysprep.exe` получил откат, связанный с `BitLocker` и `Microsoft.WidgetsPlatformRuntime`. Без проблем, я отключил BitLocker и расшифровал диск. Затем удалил виджет для всех пользователей. После завершения расшифровки я смог запустить `sysprep.exe` и создать шаблон. При создании новой ВМ на основе этого шаблона у меня теперь все установленные приложения и настройки по умолчанию, что замечательно. Я могу быстро создавать новые ВМ/пользователей. Как только новая ВМ развернута и пользователь создан, мне нужно снова включить BitLocker и зашифровать диск. Это не занимает много времени, чтобы я не мог этого сделать. На самом деле, просто запуск с qm agent позволяет мне не запускать PowerShell внутри ВМ. Один дополнительный шаг, который можно легко запрограммировать. В какой-то момент я, возможно, также буду использовать unattend.xml для быстрой настройки пользователя ВМ и т.д.
Но это заставило меня задуматься. Если ZFS может быть зашифрован при хранении, зачем вообще шифровать с помощью BitLocker? Эти ВМ живут на Proxmox и ZFS, так что, пока ZFS зашифрован, мне на самом деле не нужно повторно включать BitLocker, верно? Никаких дополнительных шагов, отнимающих время перезагрузки. Черт побери, если они редко используются и пользователь не активно пишет, я могу даже развернуть один из них всего за несколько секунд, используя связанный клон. Полностью загруженный. Я понимаю, что могут быть проблемы, связанные с разрывом ссылок и т.д. В зависимости от случая использования, лучше просто использовать полномасштабный клон.
Итак, вопросы следующие:
1. Почему ZFS-шифрование не включено по умолчанию?
2. Если вы включите ZFS-шифрование, согласны ли вы, что вам на самом деле не нужно повторно включать BitLocker?
3. Шифруете ли вы ваши ZFS-пулы/наборы данных? Почему да или нет?
4. Вы склонны просто использовать связанный клон ВМ или переходите к полному клону?
Заранее спасибо. Мне уже нравится это сообщество.
Я создал шаблон Windows и при запуске `sysprep.exe` получил откат, связанный с `BitLocker` и `Microsoft.WidgetsPlatformRuntime`. Без проблем, я отключил BitLocker и расшифровал диск. Затем удалил виджет для всех пользователей. После завершения расшифровки я смог запустить `sysprep.exe` и создать шаблон. При создании новой ВМ на основе этого шаблона у меня теперь все установленные приложения и настройки по умолчанию, что замечательно. Я могу быстро создавать новые ВМ/пользователей. Как только новая ВМ развернута и пользователь создан, мне нужно снова включить BitLocker и зашифровать диск. Это не занимает много времени, чтобы я не мог этого сделать. На самом деле, просто запуск с qm agent позволяет мне не запускать PowerShell внутри ВМ. Один дополнительный шаг, который можно легко запрограммировать. В какой-то момент я, возможно, также буду использовать unattend.xml для быстрой настройки пользователя ВМ и т.д.
Но это заставило меня задуматься. Если ZFS может быть зашифрован при хранении, зачем вообще шифровать с помощью BitLocker? Эти ВМ живут на Proxmox и ZFS, так что, пока ZFS зашифрован, мне на самом деле не нужно повторно включать BitLocker, верно? Никаких дополнительных шагов, отнимающих время перезагрузки. Черт побери, если они редко используются и пользователь не активно пишет, я могу даже развернуть один из них всего за несколько секунд, используя связанный клон. Полностью загруженный. Я понимаю, что могут быть проблемы, связанные с разрывом ссылок и т.д. В зависимости от случая использования, лучше просто использовать полномасштабный клон.
Итак, вопросы следующие:
1. Почему ZFS-шифрование не включено по умолчанию?
2. Если вы включите ZFS-шифрование, согласны ли вы, что вам на самом деле не нужно повторно включать BitLocker?
3. Шифруете ли вы ваши ZFS-пулы/наборы данных? Почему да или нет?
4. Вы склонны просто использовать связанный клон ВМ или переходите к полному клону?
Заранее спасибо. Мне уже нравится это сообщество.
