楔子
即便近年來綠聯、極空間等新晉NAS品牌飛速崛起,但是也從來沒有誰能夠撼動群暉在NAS領域第一梯隊Top.1的位置。只能說羅馬不是一天建成的,一套成熟可靠的NAS系統也不可能一蹴而就,就連綠聯的產品經理也直言“我們是在摸著群暉的屁股”過河,群暉DSM系統在業內的地位可見一斑。也正因如此,更穩定、數據更安全、更適合辦公使用的群暉始終是企業部署NAS的首選。接下來我們就來聊一聊如何利用群暉DSM搭建企業數據服務中心,群暉家用的小夥伴也可以順道看看優化下自己的NAS設置邏輯。
老牌群暉 VS 新晉NAS品牌相比有哪些明顯優勢
▼就事論事,無意拉踩。
toB思維 VS toC思維
▼新晉NAS品牌多把NAS設備當做一件數碼產品,主打一個簡單易用;對於高強度的數據安全性、用戶賬號權限管理這類主要面向於商業、辦公類型用戶的服務則屬於聊勝於無的狀態。群暉則不同,DSM系統的設計初衷就是面向於商業、企業服務,對於原始數據的安全性、數據使用的安全性都擺在第一要位。在群暉DSM內我們能夠看到諸如Active Backup for Business(ABB)、Hyper Backup、Snapshot Replication等多種為數據安全量身定做的應用。
穩定使用 VS 高頻更新
▼對於注重NAS數據安全性的用戶來說,系統並不是更新的越勤快越好,穩定性與數據安全性才是第一要務。早前極空間更新升級過一次存儲池,原本用來做存儲數據的m.2 SSD必須先將數據備份出來,升級完之後該SSD將只能外部掛載,對於原本就沒有部署幾個Docker容器的家庭用戶來說可能這沒什麼,但是對於企業來說,這很有可能足以讓運維人員加幾晚的班,甚至可能影響到整個公司的工作流程運作。
功能演示用設備,群暉DS923+
▼群暉DS923+是一款高性能的四盤位塔式NAS設備,在外觀上主打一個商務簡約,與群暉DS423+、群暉DS920+等幾乎無異。DS923+搭載AMD Ryzen R1600雙核4線程處理器,支援DDR4 ECC內存,最大可擴展至32GB,對於多任務處理和數據密集型應用均能遊刃有餘。
▼DS923+本身搭載有4個3.5英吋(兼容2.5英吋)盤位,可以通過DX517擴展櫃增加至9個硬盤位,DS923+內置兩個M.2 2280 NVMe SSD插槽,可以用作高速緩存或者是獨立的高速存儲池,對於企業來說使用將SSD用作緩存無疑是最優解,如果是家用則可以配專用的SSD做存儲。設備接口上DS923+配備有兩個1Gb RJ-45端口,並且支援通過E10G22-T1-Mini 10GbE RJ-45配將將NAS升級到萬兆。
員工工號、權限管理
▼新興的NAS系統都喜歡說所有用戶的數據賬號獨立,尊重你的隱私,但是從我作為普通家用用戶的角度看過去,一旦更換其他品牌NAS設備,遷移家人同步到NAS上的數據就成了一個相當糟心的事情:指望家人自己搞定完全是癡心妄想;找家人要賬號,說好的隱私呢,凡此種種。普通家用尚且如此,更何況是動輒幾十人、上百人的企業。對於企業NAS應用來說,我們希望運維人員只做系統的運維,不要涉及到業務數據;希望每個部門內部能夠協同工作,但是又不被其他部門看到數據;希望人員能夠帶著自己的數據在企業內平滑流動(調崗);希望涉及到需要多個部門(人員)協同的項目,數據只有指定部門(人員)能看得到。以上這些,對於群暉DSM來說很簡單,但是對於其他NAS系統來說卻不見得。
以部門為單位的員工工號權限規劃
▼其實NAS的用戶權限說白了就是對人的管理,以部門為視角的員工工號選線管理只需要按照下圖的邏輯進行規劃就好。
▼在群暉的控製麵板-用戶與群組中我們可以找到相應的功能。
創建運維組,屏蔽運維人員的數據訪問權限
▼很多時候在一般企業技術和業務是分開的,我們不希望技術人員能夠看到企業內的業務數據或者其他信息,進而保證公司商業秘密的安全, 這樣我們首次開始配置群暉NAS的時候最好就新建一個運維組。具體操作菜單:控製麵板-用戶與群組-用戶群組-新增。
▼創建好組名之後會進入到添加成員環節,這時候我們還沒有創建其他員工工號,可以先直接點擊下一步跳過,在分配共享文件夾訪問權限時,可以對所有的共享文件夾都禁止訪問,這樣該用戶組下的運維人員就看不到公司共享數據了。
▼應用權限分配這裏個人建議是應用權限最好都給到運維組,這樣員工在使用的過程中遇到問題直接找運維人員解決就好。
▼運維人員屬於管理員系列賬戶,這裏要同時勾選群暉預設的administrators用戶組與我們剛剛創建好運維用戶組。
▼按照群暉的權限邏輯,禁止訪問的優先級>可讀寫>只讀,故而最終運維用戶將完整繼承剛剛創建的運維組禁止訪問的權限設置。
▼此時的運維人員看不到NAS中的任何數據。運維工號應當是企業內的大權限工號,運維人員除了掌握運維工號之外,應當創建歸屬於自己部門的工號,個人的數據應當獨立於運維工號。當需要在系統內進行參數設置、功能調試時再登陸運維工號。
巧用雙重驗證機制提高數據安全、運維安全性
▼有細心的小夥伴可能就發現了:欸?那運維人員豈不是可以自己修改用戶組的權限,最終訪問數據麼。這時候我們就可以使用群暉的登陸雙重驗證機制,通過一個人保管密碼,一個人保管二次登陸驗證服務的手段來實現在DSM操作時需要上級授權或者是操作人、複核人同時在場,進而監督、控制運維工號安全使用的目的。群暉DSM的雙重驗證登陸支援批準登錄(Synology Secure Sigh In APP),驗證碼登陸、硬件安全密鑰等多種方式,大家在實際應用中視對數據安全的重視成都靈活使用就好。
設置業務部門文件夾(共享文件夾)
▼不同部門的工作內容不同,需要訪問到的數據也不同,比如人力部的考勤、工資文件絕對不能被其他部門看到,但是老闆要能看到,比如市場營銷部門簽訂的重要合同也不能讓其他部門看到,但是老闆要能看得到這樣,這就涉及到了部門共享文件夾與群組匹配的問題。為了方便管理,我們可以為每個部門單獨創建一個共享文件夾(業務部門文件夾)。
▼另外我們還需要在文件服務中,開啟SMB下的對沒有權限的用戶隱藏共享文件夾,避免通過相關業務部門文件夾被沒有權限的用戶嚐試連接,像這樣看起來很基礎的功能,但是在大多數新進NAS品牌上是沒有這麼嚴謹的,群暉的優勢就是這樣顯而易見。在設置的過程中我們可以先不勾選響應部門群組,之後統一規劃。
設置特殊安全文件夾,WriteOnce固化企業重要數據
▼除了普通的業務部門共享文件夾之外,群暉DSM還可以創建加密保護共享文件夾,以及使用WriteOnce功能保護共享文件夾數據。WriteOnce提供了兩種模式,分別是企業模式與法規模式,兩者之間的區別是管理員是否支援覆寫,在法規模式下管理員可以覆寫,企業模式下就連管理員都不能覆寫,進而大大加強數據的安全性,另外啟用Write功能的共享文件夾回收站功能會自動禁用。
▼像是我所處的證券行業,有大量的數據諸如開戶時雙錄視頻、電子協議等監管要求保存不少於二十年,使用WriteOnce功能歸檔保存資料可以設置自動鎖定時間以及鎖定年限,這樣監管要求的重要數據保存就變得相當簡單了,再也也不必擔心什麼數據數據因操作風險被誤刪除了。
▼公司簽訂的重要合同文件,財務報告、審計報告等文件都可以統統丟進來。
部門文件夾與用戶群組的匹配
▼進入到共享文件夾對剛剛設置好的部門文件夾進行編輯,在全線位置選擇本地群組,為每個部門關聯相應的部門文件夾(共享文件夾)即可。這裏提醒一下,可以在建設用戶群組的時候設計一個【公司高層】組,給到這個用戶組所有部門的文件夾權限。
用其他NAS沒有的細緻權限管理搞定有外部參與的,以項目為視角的權限管理
▼通過上面的操作我們可以看出來一個在群暉DSM中共享文件夾是可以關聯到多個用戶群組或者是單用戶的,以此我們就可以設計出一套以項目為視角的用戶工號與權限管理邏輯。舉一個例子,比如說公司想要採購、上線一個App,那就需要業務部門做業務測試,技術部門搭建換件,外部軟件供應商提供軟件安裝包,財務部門核算成本等等工作。
▼通常情況下,部門之間的協同工作並不會用到同一業務部門的所有人,這時候我們以項目名稱創建一個共享文件夾,同時從本地用戶中匹配即可。
▼正如前面所說,這種項目性的工作很有可能不是僅僅涉及到企業內員工,還會有外部單位人員參與。對於外部人員,我們可能只想獲取他們的數據(比如安裝包之類的),並不想將本企業的進度、工作內容相關透露給外部人員,這時候就可以用到群暉DSM超級細緻的權限管理功能了。我們在項目共享文件夾下面分辨創建幾個不同小組的文件夾,並專門給外部人員匹配一個文件夾。
▼在項目共享文件夾下的小組文件夾點擊右鍵進入屬性。
▼項目文件夾下的子文件夾也可以歸屬到部門群組或者是特定的人。
▼切換到權限Tab頁還可以對共享文件夾下的子文件夾配置用戶群組限制讀取與寫入,可以將具體權限細化到 創建文件/創建文件夾/寫入屬性/刪除子文件夾和文件項目。我們大可以只給軟件供應商一個創建文件/文件夾的寫入權限,讓項目上線前的所有歷史版本都安安靜靜的躺在裡面,軟件維護商沒有辦法自行刪除。
▼此外還可以控制到子文件夾/此文件夾,以及讀取/寫入的細分權限等等。
個人辦公、企業生產力神器Drive套件
▼到目前為止,仍然沒有一家NAS系統將團隊文件管理、數據同步、版本控製做的像群暉這樣好的,從18年接觸NAS到現在,從群暉DSM6.2的老版本群暉到現在的DSM7.2.2新版本群暉,Drive桌面應用程式一直都是我個人的最佳生產力拍檔。它就無聲的運行在那裡,保證經常用到的文檔,素材不論在哪台電腦上都能使用 。
▼上面提到的是Drive的數據同步功能,但Drive的實力完全不止於此,Drive整個分成了3個套件,分別是Drive、Drive ShareSync、Drive管理控制台。Drive ShareSync可以鏈接兩台群暉NAS設備,實時同步團隊文件夾。
▼在控制台中-團隊文件夾-共享文件夾-啟用即可開啟團隊文件夾,通過Drive可以實現版本控制,不必擔心由於誤操作造成文件修改、版本不對的情況,通過Drive控制台,還可以實時查看連接的用戶,以及企業內高頻訪問的文件,
▼此外,針對企業商用,Drive還提供了包括遠程擦除、限制下載以及水印等高級功能,水印位置可以自行設置文本,也可以通過變量Username(用戶賬號)、Accesstime(訪問時間)進行控制,水印的效果類似於釘釘企業微信聊聊天中截圖聊天窗口會顯示當前用戶姓名,進而降低重要數據流出的風險。對於團隊協作來說,Drive團隊文件夾效率是遠優於File Station的,上傳簡單、分享也簡單,在Drive頁面中,點擊如圖所示圖標就可以分享文件,在受邀者列表裡面輸入需要分享用戶的名字即可選擇,支援非強匹配搜索。
▼文件使用權限上也有預覽、查看、編輯、管理等不同選項,文件權限管理在群暉DSM中幾乎無處不在。
▼使用Synology Office編輯過的文件會生成一個額外的文檔,在歷史版本中能夠看到編輯過的版本哦,版本控制絕對是群暉相較其他品牌NAS巨大的優勢之一。
保護企業數據安全,群暉Active Backup for Business
▼別覺得數據安全、勒索病毒離我們很遠,真要是趕上了哭都來不及,前幾天一個群友就不幸遇到了,因為沒有做好備份,只能唱一首《涼涼》
▼群暉整機備份 Active Backup for Business(ABB)功能可以集中備份物理服務器、文件服務器、計算機(MAC OS、Windows)、虛擬機、群暉NAS。通過使用 ABB 企業可以從單一控制台輕鬆保護多個IT環境以及不限數量的備份任務,也能通過單一控制台設置和監控所有備份任務。同時ABB還支援增量備份和數據去重以減少備份時間和提高存儲效率。
▼ABB支援批量部署PC備份任務,運維人員壓力-1,對Win PC 或者Mac集中化備份之後,ABB還提供有裸機備份和還原功能,保護設備免受勒索病毒的侵擾。另外ABB允許將備份複製到異地的群暉NAS上,對數據安全的保障再+1。數據庫運維人員還可以配合Microsoft Volume Shadow Copy Service實現對數據庫進行備份。
Snapshot Replication快照, NAS上的土地廟(存檔點)
▼快照是一種數據保護技術,它可以記錄存儲卷或共享文件夾在特定時間點的狀態,如果發生數據意外刪除或修改,可以通過快照迅速恢復至之前的狀態,而且快照通常只記錄自上次創建快照以來數據的變化,是不是和《黑神話 悟空》裡面的土地廟很像,沒錯,它就是一個存檔點。快照功能在群暉DSM上看起來稀鬆平常,但是新晉NAS品牌搭載的系統大多都還沒有提供快照功能。
▼群暉DSM提供了Snapshot Replication快照服務,用戶可以手動對共享文件夾進行“拍照”,也可以通過設置進行定時定期拍照,時間間隔完全可以按照企業的需求進行自定義。快照保留策略上,既能控制最新快照的數量,也能設置保留近幾天的快照,進而避免佔用NAS硬盤太大的空間。
Hyper Backup 保護數據中心的數據安全
▼如果說Active Backup for Business是一把保護企業全體員工數據安全的瑞士軍刀的話,那麼Hyper Backup與Snapshot Replication就是這把刀的刀鞘,通過對群暉NAS上的數據進行備份進而保護整個企業的數據。Hyper Backup的備份功能項目包括文件夾、套件、群暉NAS完整的系統、以及LUN。
▼備份文件的目的地也多種多要,包括群暉自家的C2雲存儲、另一台群暉NAS設備或者是本地的共享文件夾、USB設備、雲供應商或者是Webdav服務器等等。
▼版本控制體現在群暉DSM系統里的方方面面,Hyper Backup同樣可以保留多個版本的備份,配合群暉的重複數據監測技術,可以做到只備份變化的部分,不必擔心經常備份會佔用NAS太多的存儲空間。同樣企業也可以根據自己的需求製定備份計劃,保留多少個備份版本。
不在陰溝裡翻船,完整支援13種Windows ACL權限
▼SMB掛載NAS共享文件夾看起來像是很簡單的一件事情,但是翻車卻也不是絕無可能,下面的圖片就是今年發生的一個案例,評論區有老哥只出可能是共享協議不穩定的鍋,具體是什麼咱也不知道,不好說。但就像前面說的,新興NAS品牌的系統往往更注重個人用戶使用體驗,對於團隊協作還處於摸著群暉的屁股過河的階段,群暉始終是企業辦公的第一選擇。
寫在最後
群暉的NAS設備以其穩定性以及數據安全性著稱,而這正符合中小企業以及一切關注數據安全的用戶。對於小微型團隊或者處於初創期的工作室,可以先按照實際需求出發,選擇群暉J系列或者數字系列的產品,(不過還是建議咬咬牙上Plus系列,也不會貴太多,DS224+就是不錯的選擇);如果預算並不是十分緊張的話則最好選購Plus系列及以上的NAS設備;對於已經成規模的小型企業,而且在線協同處理文件頻率較高的話,強烈建議選用帶有Nvme緩存的423+、723+、923+等設備;對於大型企業來說,那最好的無遺就是群暉的架式服務器了。