Zum Inhalt

ZFS Replikation & Konzepte

Die Plattform unterstützt native zfs send/recv Streams. Dies ist die effizienteste Methode, um große Datenmengen sicher zu übertragen.

Encrypted Raw Sends

Ein zentrales Feature ist die Unterstützung von Encrypted Raw Sends (zfs send -w).

Das Konzept der Client-Side Encryption

Bei der Nutzung von Raw Sends erfolgt die Verschlüsselung vollständig auf dem Quellsystem.

  1. Daten liegen verschlüsselt auf dem Quellsystem (Source) vor.
  2. zfs send -w überträgt den Datenstrom inklusive der Verschlüsselungs-Header, ohne den Key zu benötigen.
  3. zsend speichert die verschlüsselten Blöcke.

Technische Implikation: Der Betreiber hat keinen Zugriff auf den Decryption-Key. Die Daten sind Addressable aber nicht Readable.

Snapshot-Konsistenz & Immutability

Als Copy-on-Write (CoW) Dateisystem überschreibt ZFS keine bestehenden Datenblöcke. Änderungen werden in neuen Blöcken geschrieben.

  • Atomare Snapshots: Ein Snapshot repräsentiert den exakten Zustand des Dateisystems zu einem Zeitpunkt. Sollte eine Übertragung abbrechen, ist der Snapshot auf dem Ziel entweder vollständig da oder gar nicht. Es gibt keine "halben" Dateien.
  • Schutz vor Manipulation (Immutability): Durch serverseitige Snapshot-Rotation (Retention Policies) kann auch bei Kompromittierung des Quellsystems auf unveränderte Stände zurückgegriffen werden. Ein Angreifer auf dem Quellsystem kann zwar theoretisch Snapshots löschen, die Retention-Policy auf dem Zielsystem kann dies jedoch verhindern ("Hold"-Tags oder einfache Ignorierung von Löschbefehlen).