http://proxmox.su Новое в теме Шифрование на диске ZFS и шаблоны виртуальных машин Вчера я потратил какое-то время, копаясь в настройке шифрования на диске ZFS и использовании шаблонов виртуальных машин на моем домашнем сервере. Вот что я выяснил, возможно, кому-то пригодится. Сначал форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Tue, 26 May 2026 02:37:57 +0300 Шифрование на диске ZFS и шаблоны виртуальных машин Вчера я потратил какое-то время, копаясь в настройке шифрования на диске ZFS и использовании шаблонов виртуальных машин на моем домашнем сервере. Вот что я выяснил, возможно, кому-то пригодится. Сначал Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Окей, спасибо за ответы @cheiss и @FrankList80. Посмотрю ещё раз по ссылке, которую вы прислали. Вчера, когда я углублялся в эту тему, склонялся к тому, что лучше, возможно, шифровать определённые наборы данных, если нужен дополнительный уровень безопасности, но шифровать всё подряд — это обычно плохая идея. Посмотрю ещё раз внимательнее, но думаю, что я буду двигаться по плану — шифровать только определённые наборы данных и снова включить BitLocker на клонах и зашифровать. Буду следовать вашему совету. Окей, вчера я уже развернул клонированные инстансы. Хорошо, что вы сказали насчёт сохранения шаблона.

Насчёт Windows VMs и BitLocker — я просто запущу скрипт, чтобы зашифровать инстансы ещё раз после репликации. Я же не работаю в сервисе типа AWS, где ожидаешь, что всё развернётся примерно за 30 секунд — клоны разворачиваются почти мгновенно, и включение BitLocker и шифрование займёт всего несколько минут (с помощью небольшого скрипта). Скорее всего, добавлю unattend.xml, чтобы автоматизировать заполнение нескольких параметров в клоне.
29.04.2025 17:13:00, diverseprox.]]> http://proxmox.su/forum/messages/forum63/message303239/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod http://proxmox.su/forum/messages/forum63/message303239/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod Tue, 29 Apr 2025 17:13:00 +0300 Proxmox Виртуальная Среда Шифрование на диске ZFS и шаблоны виртуальных машин Вчера я потратил какое-то время, копаясь в настройке шифрования на диске ZFS и использовании шаблонов виртуальных машин на моем домашнем сервере. Вот что я выяснил, возможно, кому-то пригодится. Сначал Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Мое мнение на 2 копейки: Шифрование (VM-Block) хранилища в состоянии покоя для ВМ, которые работают 24/7, действительно часто является регуляторным требованием, но это кошмар для OPS, с моей точки зрения, с ОЧЕНЬ сомнительной логикой. Как часто атакуют хранилище, а когда ОС? Если у меня есть доступ к работающей ВМ, то уже поздно. А в сценариях аварийного восстановления это еще один кошмар — иметь ключи под рукой. Лучше посмотреть шифрование на уровне приложения или что-то вроде этого.
29.04.2025 12:01:00, FrankList80.]]> http://proxmox.su/forum/messages/forum63/message303238/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod http://proxmox.su/forum/messages/forum63/message303238/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod Tue, 29 Apr 2025 12:01:00 +0300 Proxmox Виртуальная Среда Шифрование на диске ZFS и шаблоны виртуальных машин Вчера я потратил какое-то время, копаясь в настройке шифрования на диске ZFS и использовании шаблонов виртуальных машин на моем домашнем сервере. Вот что я выяснил, возможно, кому-то пригодится. Сначал Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
В нашей инструкции для администраторов уже есть раздел об этом: https://pve.proxmox.com/pve-docs/pve-admin-guide.html#zfs_encryption Как указано в нашей инструкции для администраторов, шифрование ZFS может вызвать проблемы в контексте виртуализации. Зашифрованные наборы данных нельзя реплицировать, а снимки в некоторой степени известны тем, что создают проблемы. И это две функции, из-за которых часто выбирают ZFS как файловую систему. К тому же, загрузка с зашифрованных пулов — это совсем другой разговор. ИМХО однозначных ответов здесь не существует, так как всё зависит от модели угроз. Посмотрите, например, на резервное копирование: если вы делаете резервные копии без шифрования — вы снова ломаете парадигму шифрования на месте хранения. Из моего личного опыта: я шифрую некоторые пулы, на которых просто хранятся данные, но никогда не ставлю ВМ на зашифрованные пулы. Пока вы не планируете удалять шаблон ВМ, нет особого смысла использовать связанные клоны на ZFS. Опять же, всё зависит от вашей конкретной ситуации.
29.04.2025 10:52:00, cheiss.]]> http://proxmox.su/forum/messages/forum63/message303237/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod http://proxmox.su/forum/messages/forum63/message303237/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod Tue, 29 Apr 2025 10:52:00 +0300 Proxmox Виртуальная Среда Шифрование на диске ZFS и шаблоны виртуальных машин Вчера я потратил какое-то время, копаясь в настройке шифрования на диске ZFS и использовании шаблонов виртуальных машин на моем домашнем сервере. Вот что я выяснил, возможно, кому-то пригодится. Сначал Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Снова нырну в кроличью нору. На этот раз о дисковом шифровании ZFS. Удивительно, что это не включено по умолчанию, но я новичок, так что потерпите. Можно выполнить следующее, чтобы включить шифрование: zfs create \ -o encryption=on \ -o keyformat=passphrase \ -o keylocation=prompt \ tank/backups-encrypted. Предполагаю, что это связано с некоторыми накладными расходами, что, вероятно, и является причиной того, что оно не включено по умолчанию?

Я создал шаблон Windows и при запуске `sysprep.exe` получил откат, связанный с `BitLocker` и `Microsoft.WidgetsPlatformRuntime`. Без проблем, я отключил BitLocker и расшифровал диск. Затем удалил виджет для всех пользователей. После завершения расшифровки я смог запустить `sysprep.exe` и создать шаблон. При создании новой ВМ на основе этого шаблона у меня теперь все установленные приложения и настройки по умолчанию, что замечательно. Я могу быстро создавать новые ВМ/пользователей. Как только новая ВМ развернута и пользователь создан, мне нужно снова включить BitLocker и зашифровать диск. Это не занимает много времени, чтобы я не мог этого сделать. На самом деле, просто запуск с qm agent позволяет мне не запускать PowerShell внутри ВМ. Один дополнительный шаг, который можно легко запрограммировать. В какой-то момент я, возможно, также буду использовать unattend.xml для быстрой настройки пользователя ВМ и т.д.

Но это заставило меня задуматься. Если ZFS может быть зашифрован при хранении, зачем вообще шифровать с помощью BitLocker? Эти ВМ живут на Proxmox и ZFS, так что, пока ZFS зашифрован, мне на самом деле не нужно повторно включать BitLocker, верно? Никаких дополнительных шагов, отнимающих время перезагрузки. Черт побери, если они редко используются и пользователь не активно пишет, я могу даже развернуть один из них всего за несколько секунд, используя связанный клон. Полностью загруженный. Я понимаю, что могут быть проблемы, связанные с разрывом ссылок и т.д. В зависимости от случая использования, лучше просто использовать полномасштабный клон.

Итак, вопросы следующие:
1. Почему ZFS-шифрование не включено по умолчанию?
2. Если вы включите ZFS-шифрование, согласны ли вы, что вам на самом деле не нужно повторно включать BitLocker?
3. Шифруете ли вы ваши ZFS-пулы/наборы данных? Почему да или нет?
4. Вы склонны просто использовать связанный клон ВМ или переходите к полному клону?

Заранее спасибо. Мне уже нравится это сообщество.
28.04.2025 20:34:00, diverseprox.]]> http://proxmox.su/forum/messages/forum63/message303236/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod http://proxmox.su/forum/messages/forum63/message303236/74695-shifrovanie-na-diske-zfs-i-shablony-virtualnykh-mashin-vchera-ya-potratil-kakoe_to-vremya_-kopayas-v-nastroyke-shifrovaniya-na-diske-zfs-i-ispolzovanii-shablonov-virtualnykh-mashin-na-moem-domashnem-servere.-vot-chto-ya-vyyasnil_-vozmozhno_-komu_to-prigod Mon, 28 Apr 2025 20:34:00 +0300 Proxmox Виртуальная Среда