办公生产力、数据安全还得是群晖
即便近年来绿联、极空间等新晋NAS品牌飞速崛起,但是也从来没有谁能够撼动群晖在NAS领域第一梯队Top.1的位置。只能说罗马不是一天建成的,一套成熟可靠的NAS系统也不可能一蹴而就,就连绿联的产品经理也直言“我们是在摸着群晖的屁股”过河,群晖DSM系统在业内的地位可见一斑。也正因如此,更稳定、数据更安全、更适合办公使用的群晖始终是企业部署NAS的首选。
接下来我们就来聊一聊如何利用群晖DSM搭建企业数据服务中心,群晖家用的小伙伴也可以顺道看看优化下自己的NAS设置逻辑。
▼就事论事,无意拉踩。
▼新晋NAS品牌多把NAS设备当做一件数码产品,主打一个简单易用;对于高强度的数据安全性、用户账号权限管理这类主要面向于商业、办公类型用户的服务则属于聊胜于无的状态。群晖则不同,DSM系统的设计初衷就是面向于商业、企业服务,对于原始数据的安全性、数据使用的安全性都摆在第一要位。
在群晖DSM内我们能够看到诸如Active Backup for Business(ABB)、Hyper Backup、Snapshot Replication等多种为数据安全量身定做的应用。
▼对于注重NAS数据安全性的用户来说,系统并不是更新的越勤快越好,稳定性与数据安全性才是第一要务。早前极空间更新升级过一次存储池,原本用来做存储数据的m.2 SSD必须先将数据备份出来,升级完之后该SSD将只能外部挂载,对于原本就没有部署几个Docker容器的家庭用户来说可能这没什么,但是对于企业来说,这很有可能足以让运维人员加几晚的班,甚至可能影响到整个公司的工作流程运作。
▼群晖DS923+是一款高性能的四盘位塔式NAS设备,在外观上主打一个商务简约,与群晖DS423+、群晖DS920+等几乎无异。DS923+搭载AMD Ryzen R1600双核4线程处理器,支持DDR4 ECC内存,最大可扩展至32GB,对于多任务处理和数据密集型应用均能游刃有余。
▼DS923+本身搭载有4个3.5英寸(兼容2.5英寸)盘位,可以通过DX517扩展柜增加至9个硬盘位,DS923+内置两个M.2 2280 NVMe SSD插槽,可以用作高速缓存或者是独立的高速存储池,对于企业来说使用将SSD用作缓存无疑是最优解,如果是家用则可以配专用的SSD做存储。设备接口上DS923+配备有两个1Gb RJ-45端口,并且支持通过E10G22-T1-Mini 10GbE RJ-45配将将NAS升级到万兆。
▼新兴的NAS系统都喜欢说所有用户的数据账号独立,尊重你的隐私,但是从我作为普通家用用户的角度看过去,一旦更换其他品牌NAS设备,迁移家人同步到NAS上的数据就成了一个相当糟心的事情:指望家人自己搞定完全是痴心妄想;找家人要账号,说好的隐私呢,凡此种种。
普通家用尚且如此,更何况是动辄几十人、上百人的企业。
对于企业NAS应用来说,我们希望运维人员只做系统的运维,不要涉及到业务数据;希望每个部门内部能够协同工作,但是又不被其他部门看到数据;希望人员能够带着自己的数据在企业内平滑流动(调岗);希望涉及到需要多个部门(人员)协同的项目,数据只有指定部门(人员)能看得到。
以上这些,对于群晖DSM来说很简单,但是对于其他NAS系统来说却不见得。
▼其实NAS的用户权限说白了就是对人的管理,以部门为视角的员工工号选线管理只需要按照下图的逻辑进行规划就好。
▼在群晖的控制面板-用户与群组中我们可以找到相应的功能。
▼很多时候在一般企业技术和业务是分开的,我们不希望技术人员能够看到企业内的业务数据或者其他信息,进而保证公司商业秘密的安全, 这样我们首次开始配置群晖NAS的时候最好就新建一个运维组。具体操作菜单:控制面板-用户与群组-用户群组-新增。
▼创建好组名之后会进入到添加成员环节,这时候我们还没有创建其他员工工号,可以先直接点击下一步跳过,在分配共享文件夹访问权限时,可以对所有的共享文件夹都禁止访问,这样该用户组下的运维人员就看不到公司共享数据了。
▼应用权限分配这里个人建议是应用权限最好都给到运维组,这样员工在使用的过程中遇到问题直接找运维人员解决就好。
▼运维人员属于管理员系列账户,这里要同时勾选群晖默认的administrators用户组与我们刚刚创建好运维用户组。
▼按照群晖的权限逻辑,禁止访问的优先级>可读写>只读,故而最终运维用户将完整继承刚刚创建的运维组禁止访问的权限设置。
▼此时的运维人员看不到NAS中的任何数据。运维工号应当是企业内的大权限工号,运维人员除了掌握运维工号之外,应当创建归属于自己部门的工号,个人的数据应当独立于运维工号。当需要在系统内进行参数设置、功能调试时再登陆运维工号。
▼有细心的小伙伴可能就发现了:欸?那运维人员岂不是可以自己修改用户组的权限,最终访问数据么。这时候我们就可以使用群晖的登陆双重验证机制,通过一个人保管密码,一个人保管二次登陆验证服务的手段来实现在DSM操作时需要上级授权或者是操作人、复核人同时在场,进而监督、控制运维工号安全使用的目的。
群晖DSM的双重验证登陆支持批准登录(Synology Secure Sigh In APP),验证码登陆、硬件安全密钥等多种方式,大家在实际应用中视对数据安全的重视成都灵活使用就好。
▼不同部门的工作内容不同,需要访问到的数据也不同,比如人力部的考勤、工资文件绝对不能被其他部门看到,但是老板要能看到,比如市场营销部门签订的重要合同也不能让其他部门看到,但是老板要能看得到这样,这就涉及到了部门共享文件夹与群组匹配的问题。为了方便管理,我们可以为每个部门单独创建一个共享文件夹(业务部门文件夹)。
▼另外我们还需要在文件服务中,开启SMB下的对没有权限的用户隐藏共享文件夹,避免通过相关业务部门文件夹被没有权限的用户尝试连接,像这样看起来很基础的功能,但是在大多数新进NAS品牌上是没有这么严谨的,群晖的优势就是这样显而易见。在设置的过程中我们可以先不勾选响应部门群组,之后统一规划。
▼除了普通的业务部门共享文件夹之外,群晖DSM还可以创建加密保护共享文件夹,以及使用WriteOnce功能保护共享文件夹数据。WriteOnce提供了两种模式,分别是企业模式与法规模式,两者之间的区别是管理员是否支持覆写,在法规模式下管理员可以覆写,企业模式下就连管理员都不能覆写,进而大大加强数据的安全性,另外启用Write功能的共享文件夹回收站功能会自动禁用。
▼像是我所处的证券行业,有大量的数据诸如开户时双录视频、电子协议等监管要求保存不少于二十年,使用WriteOnce功能归档保存资料可以设置自动锁定时间以及锁定年限,这样监管要求的重要数据保存就变得相当简单了,再也也不必担心啥数据数据因操作风险被误删除了。
▼公司签订的重要合同文件,财务报告、审计报告等文件都可以统统丢进来。
▼进入到共享文件夹对刚刚设置好的部门文件夹进行编辑,在全线位置选择本地群组,为每个部门关联相应的部门文件夹(共享文件夹)即可。这里提醒一下,可以在建设用户群组的时候设计一个【公司高层】组,给到这个用户组所有部门的文件夹权限。
▼通过上面的操作我们可以看出来一个在群晖DSM中共享文件夹是可以关联到多个用户群组或者是单用户的,以此我们就可以设计出一套以项目为视角的用户工号与权限管理逻辑。
举一个例子,比如说公司想要采购、上线一个App,那就需要业务部门做业务测试,技术部门搭建换件,外部软件供应商提供软件安装包,财务部门核算成本等等工作。
▼通常情况下,部门之间的协同工作并不会用到同一业务部门的所有人,这时候我们以项目名称创建一个共享文件夹,同时从本地用户中匹配即可。
▼正如前面所说,这种项目性的工作很有可能不是仅仅涉及到企业内员工,还会有外部单位人员参与。对于外部人员,我们可能只想获取他们的数据(比如安装包之类的),并不想将本企业的进度、工作内容相关透露给外部人员,这时候就可以用到群晖DSM超级细致的权限管理功能了。我们在项目共享文件夹下面分辨创建几个不同小组的文件夹,并专门给外部人员匹配一个文件夹。
▼在项目共享文件夹下的小组文件夹点击右键进入属性。
▼项目文件夹下的子文件夹也可以归属到部门群组或者是特定的人。
▼切换到权限Tab页还可以对共享文件夹下的子文件夹配置用户群组限制读取与写入,可以将具体权限细化到 创建文件/创建文件夹/写入属性/删除子文件夹和文件项目。我们大可以只给软件供应商一个创建文件/文件夹的写入权限,让项目上线前的所有历史版本都安安静静的躺在里面,软件维护商没有办法自行删除。
▼此外还可以控制到子文件夹/此文件夹,以及读取/写入的细分权限等等。
▼到目前为止,仍然没有一家NAS系统将团队文件管理、数据同步、版本控制做的像群晖这样好的,从18年接触NAS到现在,从群晖DSM6.2的老版本群晖到现在的DSM7.2.2新版本群晖,Drive桌面应用程序一直都是我个人的最佳生产力拍档。它就无声的运行在那里,保证经常用到的文档,素材不论在哪台电脑上都能使用 。
▼上面提到的是Drive的数据同步功能,但Drive的实力完全不止于此,Drive整个分成了3个套件,分别是Drive、Drive ShareSync、Drive管理控制台。Drive ShareSync可以链接两台群晖NAS设备,实时同步团队文件夹。
▼在控制台中-团队文件夹-共享文件夹-启用即可开启团队文件夹,通过Drive可以实现版本控制,不必担心由于误操作造成文件修改、版本不对的情况,通过Drive控制台,还可以实时查看连接的用户,以及企业内高频访问的文件,
▼此外,针对企业商用,Drive还提供了包括远程擦除、限制下载以及水印等高级功能,水印位置可以自行设置文本,也可以通过变量Username(用户账号)、Accesstime(访问时间)进行控制,水印的效果类似于钉钉企业微信聊聊天中截图聊天窗口会显示当前用户姓名,进而降低重要数据流出的风险。
对于团队协作来说,Drive团队文件夹效率是远优于File Station的,上传简单、分享也简单,在Drive页面中,点击如图所示图标就可以分享文件,在受邀者列表里面输入需要分享用户的名字即可选择,支持非强匹配搜索。
▼文件使用权限上也有预览、查看、编辑、管理等不同选项,文件权限管理在群晖DSM中几乎无处不在。
▼使用Synology Office编辑过的文件会生成一个额外的文档,在历史版本中能够看到编辑过的版本哦,版本控制绝对是群晖相较其他品牌NAS巨大的优势之一。
▼别觉得数据安全、勒索病毒离我们很远,真要是赶上了哭都来不及,前几天一个群友就不幸遇到了,因为没有做好备份,只能唱一首《凉凉》
▼群晖整机备份 Active Backup for Business(ABB)功能可以集中备份物理服务器、文件服务器、计算机(MAC OS、Windows)、虚拟机、群晖NAS。通过使用 ABB 企业可以从单一控制台轻松保护多个IT环境以及不限数量的备份任务,也能通过单一控制台设置和监控所有备份任务。同时ABB还支持增量备份和数据去重以减少备份时间和提高存储效率。
▼ABB支持批量部署PC备份任务,运维人员压力-1,对Win PC 或者Mac集中化备份之后,ABB还提供有裸机备份和还原功能,保护设备免受勒索病毒的侵扰。另外ABB允许将备份复制到异地的群晖NAS上,对数据安全的保障再+1。数据库运维人员还可以配合Microsoft Volume Shadow Copy Service实现对数据库进行备份。
▼快照是一种数据保护技术,它可以记录存储卷或共享文件夹在特定时间点的状态,如果发生数据意外删除或修改,可以通过快照迅速恢复至之前的状态,而且快照通常只记录自上次创建快照以来数据的变化,是不是和《黑神话 悟空》里面的土地庙很像,没错,它就是一个存档点。快照功能在群晖DSM上看起来稀松平常,但是新晋NAS品牌搭载的系统大多都还没有提供快照功能。
▼群晖DSM提供了Snapshot Replication快照服务,用户可以手动对共享文件夹进行“拍照”,也可以通过设置进行定时定期拍照,时间间隔完全可以按照企业的需求进行自定义。快照保留策略上,既能控制最新快照的数量,也能设置保留近几天的快照,进而避免占用NAS硬盘太大的空间。
▼如果说Active Backup for Business是一把保护企业全体员工数据安全的瑞士军刀的话,那么Hyper Backup与Snapshot Replication就是这把刀的刀鞘,通过对群晖NAS上的数据进行备份进而保护整个企业的数据。Hyper Backup的备份功能项目包括文件夹、套件、群晖NAS完整的系统、以及LUN。
▼备份文件的目的地也多种多要,包括群晖自家的C2云存储、另一台群晖NAS设备或者是本地的共享文件夹、USB设备、云供应商或者是Webdav服务器等等。
▼版本控制体现在群晖DSM系统里的方方面面,Hyper Backup同样可以保留多个版本的备份,配合群晖的重复数据监测技术,可以做到只备份变化的部分,不必担心经常备份会占用NAS太多的存储空间。同样企业也可以根据自己的需求制定备份计划,保留多少个备份版本。
▼SMB挂载NAS共享文件夹看起来像是很简单的一件事情,但是翻车却也不是绝无可能,下面的图片就是今年发生的一个案例,评论区有老哥只出可能是共享协议不稳定的锅,具体是什么咱也不知道,不好说。但就像前面说的,新兴NAS品牌的系统往往更注重个人用户使用体验,对于团队协作还处于摸着群晖的屁股过河的阶段,群晖始终是企业办公的第一选择。
群晖的NAS设备以其稳定性以及数据安全性著称,而这正符合中小企业以及一切关注数据安全的用户。
对于小微型团队或者处于初创期的工作室,可以先按照实际需求出发,选择群晖J系列或者数字系列的产品,(不过还是建议咬咬牙上Plus系列,也不会贵太多,DS224+就是不错的选择);
如果预算并不是十分紧张的话则最好选购Plus系列及以上的NAS设备;
对于已经成规模的小型企业,而且在线协同处理文件频率较高的话,强烈建议选用带有Nvme缓存的423+、723+、923+等设备;
对于大型企业来说,那最好的无遗就是群晖的架式服务器了。