Tips på hur man bör strukturera lagringen?

Hej,

Haft en HTPC senaste 10+ åren som fått agera någon basic server (delad nätverksdisk i princip).
Nuvarande HDD i HTPCn har kring 8 år på nacken och jag började känna en viss oro då jag nog har en del data på den jag helst inte vill tappa.
Nu har jag äntligen tänkt att jag ska ta tag i det där förhoppningsvis innan hårddisken ger upp och samtidigt slå ihop med min Elitedesk mini som kör Proxmox med pfsense och Ubuntu VM med Docker containers för hemautomation.

Vad gäller mina kunskaper så känner jag att jag varit ifrån datorer för mycket senaste åren.

Nu har jag införskaffat hårdvaran:
Moderkort: Asrock Rack EP2C612 WS
CPU: 2x Intel Xeon E5-2620v3 (Kanske byter ut dessa E5-2650Lv4 eller E5-2690v4)
Minne: 128 GB DDR4 2133 MHz ECC
HDDs:
2st Crucial BX500 1TB (SSD)
2st Seagate Ironwolf 4 TB
Ethernet:
2 x RJ45 by 2 x Intel i210
1 x RJ45 Dedicated IPMI LAN port

SSD diskarna hade jag tänkt ha som zfs mirrored i Proxmox.
Ironwolf diskarna har jag tänkt köra passthrough till en Truenas Scale VM.
Alltid haft Veracrypt/Truecrypt tidigare på diskarna men då i Windowsmiljlö då jag vill ha at-rest kryptering.
Blir inte heller riktigt klok på hur man bör lägga upp krypteringen vad gäller Truenas. Förstått det som att Truenas i sig inte erbjuder at-rest kryptering då jag om jag förstått det rätt lagrar känslig info i boot pool som aldrig är krypterad?
Kan man köra LUKS kryptering på diskarna i Truenas i kombination med mirrored zfs?

I övrigt har jag tänk köra containers och VM's i Proxmox och låta Truenas VM vara just NAS-delen.
Tanken är att sedan att kunna utforska egna self-hosting tjänster som Nextcloud som då använder sig av Truenas lagringen.

Även om man inte ska skjuta upp Backup-tänket så har jag inte tänkt igenom det mer än att jag tänkt försöka få till så att vissa delar av datan backupas mot någon cloud-tjänst. Här skulle man också vilja att datan som laddas upp är krypterad.

Har ni några tips på hur man bör strukturera lagringen för att ha en vettig fail-safe nivå där man kan klara av att en disk går sönder?

Tack för inputen. Det kanske låter som att jag har hyffsad koll men det känns det inte som att jag har. Jag har en idé men har ingen aning om detta är ett vettigt upplägg eller om man bör gå en annan väg.
Filsystem generellt har jag dålig koll på mer än att jag vet olika beteckningar

Mycket är väl att at-rest krypteringen som strular till det i tankegångarna. Men gjort lite mer forskning där efter ditt tips om enskilda dataset.
För enskilda dataset tolkar jag det som att man kan ha passphrase-kryptering och då är det at-rest kryptering även ifall någon kommer över hela servern, med nackdelen att man såklart måste låsa upp datasetet vid uppstart.
Så vad gäller kryptering blir det nog till att aktivera kryptering av ZFS Poolen och då ligger nycklarna i boot-pool.
Sen för enskilda dataset som man verkligen vill ha at-rest kryptering på ifall servern kommer i orätta händer väljer man passphrase-kryptering på.
Då slipper jag blanda in LUKS också.

Vad gäller TrueNAS i Proxmox så verkar det som att man pratar om att man vill ha passthrough på diskarna eller egentligen själva kontrollern, kör man bara passthrough på diskarna så virtualiseras de fortfarande av Proxmox så Truenas har egentligen inte full kontroll.
Nu när jag läser om mitt moderkort så verkar ja ha två olika SATA kontroller så ska prova sätta Truenas diskarna på den ena SATA kontrollern och prova göra passthrough på den kontrollern.
Går det inte så får jag köra passthrough på diskarna då jag antar att det inte är motiverat att inhandla något begagnat HBA kort.
Vet inte hur stor den faktiska skillnad är på passthrough av diskarna resp. kontrollern.