文章讲述了作者在使用ZFS加密功能时遭遇数据无法解密的困境，通过分析问题根源、深入了解ZFS底层机制，最终通过修改ZFS代码成功修复数据损坏的经历，旨在警示他人避免类似错误。

文章主要内容重述

标题：警惕加密根目录：当ZFS“失控”时如何拯救你的数据

文章概述
本文作者分享了他在使用OpenZFS原生加密功能时遭遇的一次严重数据危机，以及如何通过深入研究ZFS内部机制、调试问题并最终修复数据的过程。文章不仅详细描述了问题的成因和解决步骤，还总结了宝贵的经验教训，旨在帮助读者避免类似错误。

关键事件与问题根源

1. 背景与初始设置

   • 作者管理两个ZFS存储池（old和new），通过第三个池（sneakernet）在两地间手动同步加密快照。
   • new池始终启用原生加密，而old池最初未加密，后通过zfs change-key命令将加密密钥从口令改为十六进制格式。

2. 灾难性操作

   • 更改old池的加密密钥后，未同步更新old/encrypted的快照到new和sneakernet。
   • 后续同步子数据集快照时，因加密根目录未更新，导致子数据集无法解密（权限被拒绝）。

3. 问题本质

   • 加密根目录（encryptionroot）的密钥变更未传递到备份池，子数据集的密钥仍依赖旧密钥，但实际数据已用新密钥加密，造成解密失败。

调试与修复过程

1. 学习ZFS机制

   • 作者通过阅读源码、文档和观看ZFS创始人的演讲，深入理解ZFS的写时复制（CoW）、默克尔树结构和事务组（txg）等核心机制。
   • 重点研究了原生加密的实现：主密钥（master key）由用户提供的包装密钥（wrapping key）加密，而加密根目录存储包装密钥参数。

2. 复现问题

   • 在FreeBSD测试环境中，作者编写脚本复现了问题，确认了假设：加密根目录的快照未同步是根本原因。

3. 数据恢复方案

   • 理论修复：发送加密根目录的最新快照即可同步密钥变更。
   • 实际障碍：原快照已被删除，无法生成增量发送流。
   • 终极方案：
     • 利用ZFS池历史记录找回原始快照的txg、GUID和时间戳。
     • 通过修改ZFS源码，手动创建虚拟书签（bookmark）替代快照。
     • 禁用IV集GUID检查后，成功接收增量流并恢复数据。

经验教训总结

1. 备份验证

   • 教训：未持续测试备份可用性，导致问题未被及时发现。
   • 建议：定期验证备份的可读性。

2. 操作顺序

   • 教训：在未确认数据迁移成功前，提前销毁了原数据集。
   • 建议：将破坏性操作集中到最后执行。

3. 加密根目录同步

   • 教训：更改密钥后未同步加密根目录快照。
   • 建议：密钥变更后立即发送加密根目录的快照。

4. 书签的利用

   • 教训：删除快照前未创建书签。
   • 建议：用书签保留关键txg信息，避免依赖快照。

结论与建议

• 谨慎使用原生加密：OpenZFS的加密功能仍存在潜在风险，建议优先考虑块设备级加密（如age）。
• 核心原则：始终关注加密根目录的状态，确保密钥变更传递到所有备份。
• 资源推荐：文中提到的ZFS技术演讲和文档链接（如ZFS加密设计演讲）值得深入学习。

最终启示：通过这次事件，作者强调了对技术原理的深入理解在故障恢复中的重要性，并希望读者能从中吸取教训，避免重蹈覆辙。

总结评论内容：

1. 关于ZFS加密功能的争议：

• 支持传统方案的观点认为LUKS+ext4/mdadm更稳定可靠 "应该使用mdadm和LUKS...这是在过度复杂化事情"（pessimizer） "保持至少一个使用LUKS+ext4的副本...更复杂的文件系统会带来其他风险"（kalaksi）

• 支持ZFS的观点认为其功能正在改进 "至少部分尖锐问题已经解决...最近修复了一个难以重现的bug"（aborsy） "写得很好...应该给我的空根目录做快照"（aborsy）

2. 对数据备份的警示： "持续测试备份...这是个应该早已学会的老教训"（wkat4242） "读起来像恐怖故事...感谢分享经验教训"（3abiton）

3. 对复杂系统的批评： "在开发环境中接受ZFS问题为'正常'令我难以理解"（chasing0entropy） "这看起来比mdadm+LUKS复杂得多且更容易失败"（pessimizer）

4. 对作者的肯定： "真是糟糕的一天...对他们能解决这个问题印象深刻"（ed_db） "写得很好...用户显然很了解ZFS却差点丢失数据"（aborsy）

不同观点保持平衡，既有对ZFS的批评（复杂性、稳定性问题），也有对其改进的认可，同时强调了备份的重要性。关键引用保留了中英文对照。