前言
大家好,我是噩梦飘雷。
最近有个发小开了个工作室,主要承接一些视频拍摄和剪辑之类的业务。由于平时需要保存大量视频素材,这哥们觉得团队成员之间用移动硬盘来回倒腾过于麻烦,所以近期准备趁着618大促采购一台国产轻NAS来着。
没成想还没等下单,这哥们就刷到了某国产NAS品牌发布新品时翻车的新闻,这才一下子惊觉原来NAS选购还这许多讲究,就来咨询我到底应该咋选。
正好我趁着618大促,刚刚把家里用了三年的黑群晖升级到了群晖DS923+。所以也就把他喊到家里,边喝啤酒边拿着这台白群晖举例,和他一块好好捋了捋中小型企业和工作室应该怎么选NAS,酒足饭饱后顺带成功安利了他下单同款。
今天就同大家分享一下我们整理出的工作室和中小型企业在选购NAS思路吧,希望对有类似需求的朋友起到一些参考价值。
闲话少叙,直接来上干货,Let's go!
一、技术底蕴
虽然目前网络上关于NAS的玩法经验文章特别多,也在很大程度上让许多工作室和中小企业也了解了这一好用的产品,但是有一说一,TO B领域的企业级NAS用户并不应该把目光放在“可玩性”上,而是应该回归NAS的生产力工具属性,更关注软硬件结合下的“稳定性”与“功能性”。
在这二者面前,甚至连性能的优先级都可以往后捎捎。
毕竟公司里的NAS性能无敌强、影音娱乐能力再好,顶多也就给运维人员提供些情绪价值;但是一旦保存的关键数据出现问题,那就真的可能直接带来真金白银的经济损失。
群晖从2000年成立起就一直研发NAS设备,出道至今已经有20多年了,作为NAS领域的龙头大哥,在业内的地位和影响力都无出其右,其产的稳定性、易用性也一直受到好评。
借用圈子里朋友们的共识,群晖的NAS贵是真的贵,不过稳也是真的稳。
在软件生态方面,群晖的NAS设备一向以优秀的DSM固件闻名,还能够通过套件中心安装各种个性化的官方套件来实现更高级的功能,如数据备份、协同办公等,功能扩展性非常丰富。并且官方套件都经过了审查,在安全性方面也足够让人放心。
另外除开官方套件之外,我们还能自己下载和安装第三方开发的套件,用来是相当方便的。
相较而言,而国产轻NAS在官方的软件平台方面还存在不少的欠缺,大量依赖第三方Docker来扩展实现各种功能。但是Docker 官方源很早之前就被官方墙了,最近各大Docker镜像站也在神秘力量的推动下停用,往后还能不能继续畅玩Docker,这还是一个未知的问题。
同时,由于群晖用户基数特别巨大,基本你能遇到的问题都有人遇到过,所以遇到啥技术问题的时候既能自己搜索解决方案,也能找到大佬咨询,这一点也要比小众品牌靠谱得多。
另外由于群晖的利润可观,也能培养出庞大的技术服务团队,所以NAS用户在使用中遇到问题可以申请技术人员远程支持,变相节约了雇佣专业运维人员的经济支出。
二、权限管理
在工作室、中小企业等办公场景下,NAS的使用方式和普通家用环境大不相同,其中一个特别显著的特征就是,NAS会作为生产力工具被多人访问使用。
而有过工作经验的朋友都知道,工作中非常重要的一点就是责任划分与风险控制。简单点儿来说,办公环境下使用NAS时,一定要给不同的使用者分别设置独立账号,同时规定好每个账号的访问范围和操作权限。
这样一方面可以避免共用账号产生的“大锅饭”效应,减少误删误操作损毁数据的几率,另一方面也能明确使用者的责任,避免泄露公司商业机密,或者在出现工作失误时互相推诿责任。
关于划分用户权限这一块,其实目前各个国产轻NAS品牌也有涉及,但是如果真的在企业级场景中用起来,就会发现存在诸多不足,包括但不限于:
- 普通用户的权限只能由管理员来设置,而且一般只有只读、读写、不可访问这三种权限, 不够细化。
- 分享给其他人的文件夹:只支持让账号用户查看,无法写入。
- 在电脑上通过SMB访问NAS时,不支持对文件夹做权限设置,都要在客户端进行操作。
群晖针对企业级场景的实际需求,在DSM固件中提供了极为精细的用户权限控制功能,兼顾了易用性和安全性。而且管理员还能对用户进行群组设置,方便在用户数量增多后分组管理,减轻设置和管理的工作量。
当NAS的使用者较多、办公业务复杂交叉时,管理员可以根据需要授权用户访问不同的文件夹,并设置可读、可写、可读写、只读和自定义权限等选项,实现例如诸如禁止下载、权限委派等高级功能。
此外,群晖NAS还可以对不同的用户进行使用空间配额,也可以限制用户通过FTP协议、Rsync以及Synology Drive与NAS同步的读写速度。
当公司规模扩大后,群晖还支持用户权限的委派管理,也即管理员将用户与群组管理、共享文件夹管理等权限下放,方便企业中层灵活管理下属人员。
另外为了方便日常工作使用,许多工作室或者中小公司会将NAS文件夹通过SMB协议挂载到用户电脑上,用起来就跟本地盘符似的,特别方便。
就这么简单的一项功能,如果权限和账户系统做得不够细致,那在使用SMB协议时也可能造成权限划分失效,例如出现文件数据对所有用户都变成可见这种问题,容易导致泄密或者误删等问题发生。
而群晖的DSM系统支持完整的13 种 ACL 权限,日常在 Windows、macOS 等平台使用 SMB 等文件协议访问NAS时,权限系统都能同样生效,让各用户不该看的别看、不该动的别动,这一点相当让人放心。
另外,为了进一步增加安全性,群晖还提供了登录双重验证 (2FA) 功能,用户登录时首先要输入正确的账户密码,然后还要再配合动态验证码或在Secure SignIn客户端上进行登录授权,这样可以有效避免账号被盗用。
当然,双重验证会增加了从信任设备或网络登录所需的时间,所以在DSM7.2里系统只会会针对所有使用传统密码登录的 DSM 管理员帐户强制执行智能多重验证 (AMFA)。
而对于普通用户,则可以通过手机批准登录、macOS Touch ID、Windows Hello 以及 USB 安全密钥等多种方式,实现免密登录 NAS,在保证安全性的前提下提高使用效率。
三、数据安全
这一部分是企业级用户最关心的问题之一,值得我们来详细地谈一谈。
群晖可以说是最早入局NAS领域的老牌企业之一,这么多年以来一直都极其重视数据的安全性,像一些国产轻NAS无故丢失整机数据、需要格式化硬盘才能升级新版固件之类的翻车问题,群晖这儿不存在的,口碑非常坚挺。
1.RAID阵列系统
首先,群晖的DSM系统可以在系统层面,把插入NAS的硬盘组成RAID(独立磁盘冗余阵列),将多个硬盘组合成单个存储空间。根据不同的RAID类型,可以提供不同级别的数据保护、存储功能及性能。
群晖NAS目前支持以下类型的RAID方案:
Basic
使用一个硬盘来创建存储池。Basic 存储池不提供数据冗余。
JBOD
至少合并两个硬盘来创建存储池。JBOD 存储池不提供数据冗余。JBOD 存储池的可用容量等于该存储池中所有硬盘的总容量。JBOD 支持不同容量硬盘的合并。
RAID 0
RAID 0 组合两个或更多硬盘以提高性能和容量,但不提供容错功能。单个硬盘出现故障将导致阵列中的所有数据丢失。RAID 0 对于需要高价格/性能平衡的非关键系统非常有用。
RAID 1
RAID 1 通常由两个硬盘来执行。硬盘中的数据会进行镜像,在硬盘出现故障时提供容错保护功能。读取性能得到提高,而写入性能与单个硬盘相似。可承受单个硬盘出现故障而不会丢失数据。在容错保护非常关键而空间和性能不那么重要时,往往使用 RAID 1。
RAID 5
RAID 5 提供容错保护功能并可提高读取性能。至少需要三个硬盘才能组成。RAID 5 可承受单个硬盘丢失。硬盘发生故障时,故障硬盘上的数据将从其余硬盘上延展的奇偶校验进行重建。因此,当 RAID 5 阵列处于降级状态时,读写性能会受到严重影响。当存储空间和成本的重要性高于性能时,RAID 5 较为理想。
RAID 6
RAID 6 与 RAID 5 相似,但其提供了另一层区块延展功能,可承受两个硬盘出现故障。至少需要四个硬盘才能组成。RAID 6 的性能因其额外的容错保护功能而低于 RAID 5。在存储空间和成本较为重要且需要承受多个硬盘出现故障的情况下,RAID 6 较为理想。
RAID 10
RAID 10 集合了 RAID 1 与 RAID 0 的优势。读写性能有所提高,但用于存储数据的空间仅为总空间的一半。需要四个或更多硬盘使得成本相对较高,但在提供容错保护功能时性能较高。只要故障不是发生在同一子群组,RAID 10 可承受多个硬盘出现故障。RAID 10 对于需要高 I/O 的应用程序而言是理想的解决方案,例如数据库服务器。
RAID F1
RAID F1 采用 RAID 5 机制,提供容错并提高读取性能。但 RAID F1 会让系统在某一特定硬盘上写入更多奇偶校验信息来加速其寿命周期,以避免所有硬盘同时耗尽耐用性。与 RAID 5 相比,此机制可能会稍微影响性能。至少需要三个硬盘才能组成。RAID F1 可承受单个硬盘丢失。硬盘发生故障时,故障硬盘上的数据将从其余硬盘上延展的奇偶校验进行重建。因此,当 RAID F1 阵列处于降级状态时,读写性能会受到严重影响。RAID F1 是全闪存阵列的理想选择。
此外,群晖还有独家的SHR磁盘阵列。这是区别于传统RAID的自动RAID管理系统,可以让用户创建具有优化容量和性能的灵活存储解决方案,满足不断升级的硬盘阵列不断增长的需求,同时可按需访问数据,无需一次性购买整套硬盘即可实现存储容量最大化。
一般来说,传统 RAID 的存储创建基于存储池中最小的硬盘。如下图所示,如果传统 RAID 存储池中的最小硬盘为 500 GB,则存储池中的所有其他硬盘各自只能提供 500 GB 空间。因此,存储池最终有 2 TB 的可用存储和 4.5 TB 的浪费存储。
与传统 RAID 不同,SHR 将每个硬盘的存储空间分成较小的块,并创建额外的冗余存储。使用与之前相同的示例,SHR 能够将 4.5 TB 的不可用存储分成较小的可用块,并尽可能地增加每个硬盘的存储容量。
SHR 在存储扩充方面也胜过传统 RAID。如下图所示,传统 RAID 不允许在存储池的所有硬盘都更换为较大硬盘之前进行扩充。
另一方面,SHR 允许在两个硬盘升级后立即扩充存储池,并且可以形成冗余存储阵列。
如果您要扩充带两个硬盘容错功能的 SHR(即 SHR-2),则在添加硬盘或扩充现有硬盘后,新的存储空间将可用。
2.快照保护数据
如果说通过RAID磁盘阵列系统能够预防硬盘硬件损坏的话,那群晖NAS的快照系统就能有效预防勒索病毒或者恶意攻击造成的数据丢失风险。
顾名思义,快照(Snapshot Replication)功能的工作机制,有些类似给当前时间点的数据拍个照片,锁定数据的完整状态。由于快照本身为只读属性, 一般也不用担心快照记录会被篡改。
共享文件夹和 iSCSI LUN甚至可以提供最短 5 分钟快照频率,所以在遇到恶意攻击时,我们可以通过之前的快照记录快速恢复受损的数据文件,保障数据安全。
可以说,快照功能的优势就是记录快、还原快、频率高,是办公NAS至关重要的功能之一。
快照功能的使用方法也很简单,我们只需要在套件中心中找到Snapshot Replication套件并安装,即可选定共享文件夹进行设置:
在进行快照设置时,可以通过快照计划的时间频率,对办公NAS来说,建议至少设置成每天一次。
当然如果数据特别重要的话,那最快可以设置成5分钟一次。
由于保存的快照也是需要占用硬盘存储空间的,所以我们并不能无限堆积快照数量,还需要按照数量或者保存时间来设置一个快照保留的上限。例如当我们把快照数量设置为8次时,当记录到第9个快照,就会把初始的第1个快照给滚动覆盖掉,按照时间保留的策略也是同理。
一旦真的遇到勒索病毒或者其他恶意攻击时,我们就可以在Snapshot Replication套件中找到已保存的快照列表,选择需要还原的时间点,直接点击“还原”即可完成数据恢复操作。
如果对于数据安全或是业务连续性有着更高要求,还可以通过Snapshot Replication将快照复制到其他服务器,即使原 NAS 被损坏或是下线,也可以通过异地服务器还原。这样不但可以防范远程的勒索病毒攻击,也能预防本地NAS的物理故障,这也是“3-2-1"备份法则的实际应用之一了(3份备份,2种存储介质,1份异地副本)。
在企业领域有一类特殊的需求,就是对于部分重要的资料文件需要永久或定期归档保管、防止篡改。
例如《会计档案管理办法》将会计档案的保管期限分为永久、定期两类,定期保管期限一般分为 10 年和 30 年。此外还有金融、医疗、研发、建筑、制造行业等会要求将公司业务文件、法规政策性文件以及重要报告、统计和财务报表等进行归档保管。
在更新DSM7.2之后,群晖基于WORM(单写多读)技术,推出了WriteOnce一次写入、长久存储的功能,可以对共享文件夹设置锁定时间,在锁定时间内对 WriteOnce 共享文件夹可以随时访问,但是其中的文件无法被篡改、删除,确保文件状态保存完好。
WriteOnce 提供两种模式:法规模式、企业模式,具体的配置过程与使用指南,我们以后单独开一篇文章再来写吧,这里简单了解下即可。
- 法规模式下,即便拥有系统管理员权限,也无法删除锁定的文件,这适用于有相关法规条例要求存档的文件。
- 而在企业模式下,只有管理员权限可以删除文件,以及该共享文件夹所在的存储池和存储空间,这提供给企业灵活的管理设置。
重点在于,DSM7.2固件把快照与WORM技术整合后,WriteOnce共享文件夹的快照将无法被任何人删除,从而直接实现了不可变快照,可以更好地抵御勒索病毒的恶意删除行为,安全性更上一层楼。
3.“3-2-1”备份法则
既然刚才写到“3-2-1”备份法则,那我们干脆顺带深入展开讲讲吧。
除了使用快照功能保护数据以外,在办公NAS中,我们还可以通过套件中心的Hyper Backup、Cloud Sync,以及企业级最强备份工具 Active Backup for Business来实现更加完善的数据保护组合拳。
Hyper Backup是一个备份工具,我们可以通过它保留最多达 65,535 个版本的数据,同时通过跨版本重复数据删除功能,使存储空间消耗最小化。通过Hyper Backup备份的数据保留在一个拥有专利的数据库中,这个数据库可通过 DSM、Windows 和 Linux 平台上专门设计的多版本资源管理器来浏览、下载和还原。
具体来说,Hyper Backup能够把数据备份到3个地方:
- 本地/远程 Synology NAS 设备
- 远程 rsync、WebDav 和 OpenStack 服务器
- 公有云(如 Amazon S3 和 Microsoft Azure)等
而Cloud Sync则是一个与云端同步的工具,通过它,我们将群晖NAS与多个公有云服务之间进行无缝同步并共享文件。
此外,个人认为最重磅的备份工具当属Active Backup for Business了,这个一站式备份套件可以实现多种平台的备份,包含群晖、NetApp、Nutanix等NAS存储,PC/Mac/Linux操作系统,Hyper-V/VMwareESXi虚拟机,甚至支持Microsoft365/GoogleWorkspace等云端存储/办公平台。
正是凭借Active Backup for Business,群晖成为了唯一一个支持Windows系统整机备份的NAS品牌。
像我们Windows电脑中的环境设置和软件数据等,都能通过它备份到NAS中,特别适合电脑上装了许多专业软件或工作环境复杂的用户,极为实用。
以我的Windows主力机为例,想要通过Active Backup for Business备份系统,首先需要下载Windows端的代理程序并安装。
然后根据提示填入DS923+的内网IP地址和账户密码,接着就可以对整机进行备份设置了:
四、日志系统
在办公场景中,NAS的日志功能扮演着至关重要的角色,而这也是企业级NAS是否专业的重要标准之一 。
日志功能的核心价值在于可以记录文件操作事件,使得管理员可以根据账号、日期等条件来查看和检索操作记录,从而在出现问题时进行追踪和定位——简单点儿来说,就是在关键时刻找到问题是谁的”锅“。
群晖的"日志中心"正是这样一个工具,它能够详尽地记录每个账户在NAS上的文件操作,包括访问、删除、拷贝等操作。此外,它还提供了日志搜索功能,使得用户能够迅速追踪到文件丢失或被删除的原因。由于界面设计直观易懂,所以无需专业的运维知识,普通用户也能轻松掌握使用方法。
五、协作办公
对于办公用户来说,群晖的Synology Drive协作办公平台也是最值得重视、最核心的功能之一。
Synology Drive支持团队成员在PC、手机、网页等不同之间平台上使用,可以实现自动备份、同步文件等工作,来对团队资料进行集中管理和访问,并且通过Synology Drive,用户可以在任何地方通过互联网访问NAS上的文件。
更重要的是,Synology Drive还支持最多32个的文件历史版本,可以方便团队成员记录和查看历史编辑记录,就算遇到误删除操作,还能及时恢复数据,避免损失。
在实际工作过程中,企业可能也要用到云办公的情景,毕竟现实中啥情况都可能发生,有些团队成员可能需要居家办公,也有些团队成员可能要出差去对接工作,并且一些隐私数据或者商业机密并不适合放在公用的云办公平台上。
在这种情况下,Synology Drive搭配Synology Office套件,就可以搭建企业自己的私有在线办公平台。
这样常见的文档、表格、幻灯片等办公三件套都能在线使用,同时还能够实现多人协同工作,以及记录编辑历史、进行评论注释等操作。
另外有的公司可能还希望把NAS作为监控服务器或者邮件服务器等,实现更多的专业办公功能,这些都能在套件中心里安装对应的套件来实现,限于篇幅,这里就不再赘述了,以后有时间再专门开帖讨论吧。
六、最后,关于这台群晖DS923+
群晖DS923+是DS920+的升级迭代型号,搭载的CPU为双核四线程的AMD Ryzen R1600,基础频率2.6GHz,加速频率3.1GHz,TDP为25W。
个人对款CPU其实是有点爱恨交加的复杂心情,一方面AMD R1600相较于神U Intel J4125的单核性能强得多,同时还支持ECC内存校验,可以减少长时间运行过程中的内存数据错误问题。
但是另一方面,AMD R1600的多核性能比intel J4125还弱了一点,而且最关键的地方在于没有核显,也就无法在Plex、Jellyfin等软件中启用影像硬件解码功能。虽然用CPU软解视频也不是不能用,但心里总是有点空落落的遗憾。
不过白群晖中搭载J4125的DS920+已经停产、DS423+无法扩展万兆接口,所以综合权衡之下感觉还是万兆内网吸引力更大,所以最终入手的还是这台DS923+。
群晖DS923+的机身为黑色工程塑料材质,很有理工科人热爱的工业范儿,正面为4个3.5寸硬盘托架位和一个USB3.0接口,还有一排硬盘状况指示灯。
硬盘托架也是工程塑料材质,采用免工具安装的方式,做工不错,抽拉手感相当顺滑。
另外DS923+还附带了一套硬盘托架钥匙,起到一些防盗效果。
DS923+有两个内存槽位,位置还是很方便更换的。我买的是4GB内存版本,出厂自带了1根4GB ECC原装内存,如果觉得内存容量不够用,后期自己更换扩展即可。
DS923+的背面采用双风扇抽风方案,接口方面包括两个原装的千兆LAN口、一个用于连接DX517扩展硬盘柜的eSATA接口、一个USB3.0接口,一个防盗锁孔,以及一个用于扩展万兆网卡的槽位。
群晖在现在这个时间点还只给DS923+标配两个千兆网口,属实有点让人难蹦了,咱就说,你哪怕给俩2.5G网口呢都要好得多。。。
由于之前我自己的电脑和黑群晖都加装了万兆网卡,家里也有几个万兆交换机,习惯了方便快速的万兆内网,所以这个万兆网卡扩展槽位就成为了我选择DS923+的重要原因之一。
而群晖推出的E10G22-T1-Mini万兆网卡采用了迥异于普通PCIe网卡的造型,安装倒是挺方便的,直接插入槽位固定即可,不过价格真的不便宜,价格要将近900块。
所幸兮克也出了一款专门适配DS923+的平替万兆网卡,貌似比群晖那个制程更新,价格也便宜了一大半。但毕竟不是原厂配件,可能会出现一些不确定的问题,各位要入手的话,还是自己斟酌一下。如果是企业或是工作用的话,还是加点钱上原厂的吧。
我买到手的价格是388元,按理说也不便宜,但是和群晖原厂的一对比就感觉性价比很高了,直接拿下:
兮克这张万兆网卡用起来也没啥问题,插进NAS严丝合缝,并且进系统直接就能免驱识别,这一对比就显得性价比很高了。
另外DS923+的底面还有两个NVMe M.2 SSD槽位,可以插上SSD后作为读写加速缓存,另外还可以在网上搜到教程,把M.2 SSD作为存储空间利用起来。
总结
近年来,NAS领域面向个人用户的新品牌越来越多,不过群晖好像对此并不在意,旗下产品逐渐在转向企业级定位。
有一说一,作为中端主力机型,群晖DS923+的硬件配置说不上亮眼,对于家庭用户来说似乎有点不够极致,就算我是群晖老粉都有点吹不动。
不过另一方面,群晖DS923+凭借优秀强大的DSM7.2固件,拥有精细的权限管理方案、稳定的数据安全保障、简单易用的日志系统和方便灵活的协同办公方案,对于商用场景来说,倒是非常合适的选择,很值得中小企业和工作室团队入手。
,