楔子
前段時間收了500塊幫原生的一加室內設計工作室部署NAS環境,講道理這錢賺的我都有點不好意思。剛好最近參與了極空間企業級P8的內測,就用它做演示,整理一篇工作室、企業NAS環境部署方案攻略,幫大家少花「冤枉錢」。
一、NAS網路環境布置
1.1 硬體裝置及網線布置
▼就拿找我布置NAS環境的工作室來舉個例子吧,中小型企業可以依次發散一下就行。
客戶是一個4人室內設計工作室,未來可能會考慮擴至6人,每人的主力辦公電腦是桌上型電腦,配有膝上型電腦,以及一台電視。現有網路環境使用光貓撥號加路由器做網路訊號,放在電視後面,所有裝置使用無線WiFi連線。
▼首先要明確一點: 想要高速、穩定存取NAS裝置,首先需要存取裝置與NAS進行有線連線, 路由器往往滿足不了需求,最好是配合交換機使用,也不需要管理型的,有一個非管理型的就行,SKS1200交換機,體積小巧,200多元就給到了8個自適應2.5G電口以及1個10G光口的配置。如果企業內裝置較多的話可以采用「串聯」交換機的形式進行擴充套件,而且通常會采用「管理型」交換機。
▼對原有網路布線布局進行簡單調整,主要生產力桌上型電腦使用有線網路進行連線,這裏在實操時一定要估算好網線的長度進行采購,一次做好省心省事。對於企業來說,基本上每個工位都會預留有網路介面,就更簡單了,不再贅述。
▼網路拓撲圖如下:光貓橋接、路由器撥號是為了更好的做埠轉發,畢竟營運商帶的光貓很可能效能羸弱,讓路由器來承擔撥號的任務更有助於釋放路由器的全部效能。
1.2 申請公網IP(可選項,非必須)
▼這個主要是針對群暉、黑群暉使用者說的,畢竟QC的速度會稍微慢一點,黑群暉使用者更是需要自己折騰外網存取,像是以極空間為代表的新星NAS品牌,外網存取速度基本上都能夠跑滿NAS環境的上行寬頻。別的地區不太清楚,山西這裏,電信使用者打10000號直接要公網IP說要做監控直接就給了。
二、初始化設定
2.1 演示用裝置,企業極空間P8 NAS
▼P8是極空間專為ToB端企業服務打造的NAS裝置,整體材質采用塑膠面板+全鋼機身的組合,從正面看過去有黑銀撞色效果,在機櫃中會更顯眼一些,方便定位。個人覺得這個外觀設計有點偏年輕化,不知道企業中管事的老古董們會不會打心底裏有些拒絕。
▼前置面板上設計有USB Type-C、Type-A傳輸介面各一個,以及電源按鈕,針對現在越來越多的C-C儲存裝置更加友好。
▼硬碟物理鎖保護作為企業級NAS裝置必備的功能,在P8上自然也沒有缺席。
▼裝置的兩側設計有提手凹槽,並且有螺絲孔位,可以方便的上機櫃。
▼極空間P8采用了 快拆式、模組化雙電源設計, 主打一個重視裝置安全與更換便捷。
▼機器內部直接設計有UPS模組, 切記UPS主要是應急,不可當作移動電源使用, 而且UPS可能會隨著時間老化,續航時間會有所衰減。不過對於工作室、中小企業省下了另外選購UPS時間、金錢成本,也減少了放置UPS的所需的空間,很是方便。UPS的主要作用在於保護裝置遠離異常斷電,降低硬碟、裝置損壞的風險,對於P8來說這個模組化的UPS供電可以說是領先大部份同行了。
▼背面的介面相當豪華,提供了2個10Gbps rj45網路介面,3個USB-A介面,一個HDMI視訊輸出介面以及2個可以用來擴充套件盤位的eSATA介面,配合極空間A4硬碟擴充套件櫃使用還可以再擴充套件8個3.5英寸盤位出來,如果按照群暉的命名邏輯,P8不應該叫P8,應該叫P16(手動狗頭)。
▼來到P8的底部位置,可以看到給到了相當充足的散熱孔位,整塊底部面板使用快拆螺絲固定。
▼擰下後就可以看到內部的空間主機板設計有4個M.2介面,考慮到極空間原生支持使用M.2硬碟作為儲存空間,其實P8相當於擁有8+4共12盤位。記憶體使用DDR4筆記本記憶體支持ECC,海麗仕顆粒,2400MHz頻率。
▼P8預留了一個PCIe 3.0 x8的擴充套件槽,使用者可以自行增加硬體擴充套件裝置,期待一個極空間官方的相容性列表,未來用NAS直接煉丹多是一件美事啊。
2.2 尋找並初始化裝置
▼企業極空間軟體提供了裝置尋找功能,相較群暉、威聯通那種單獨做一個叫做Assistant的套用操作起來要方便很多,而且軟體本身集合了NAS使用的功能。 企業極空間的初始化設定做到了「傻瓜式」,用起來很方便。
▼簡單的尋找就能夠找到裝置,Next下一步即可。
▼偶有尋找不到的情況,可以借助路由器後台,檢視有線連線的裝置,就能找到NAS的IP地址。
▼或者也可以透過輸入裝置SN碼、網線直連配置等方法進行初始化設定。
2.3 建立超級管理員帳戶
▼最開始設定的是超級管理員帳戶,就是說擁有全許可權的帳戶,個人建議這個帳戶完成設定後交由老板保管。
2.4 建立外網存取服務
▼接著會進入到外網存取設定,這裏有個【企業連線標識】,說人話就是2級網域名稱,這個我們放在後面繼續說。
2.5 建立儲存空間
▼硬碟裝進裝置以後,系統並不是能夠直接進行使用的,需要進行儲存池的建立, 儲存池簡單點說就是把幾塊硬碟,用哪種Raid形式組成一個儲存空間。
▼初始化設定流程中沒有進行設定的話也可以使用儲存管理功能進行設定。
▼企業極空間的儲存池型別提供了包括Basic、RAID1、RADI5、RAID6、RAID10共5種模式。由於跟配額、許可權等功能沖突,在家用極空間上的ZDR模式不見了蹤影。軟體界面對於最小硬碟數、冗余度、可用空間(有效空間)也做了簡單易懂的描述。
(1)Basic模式,NAS可用總空間等於所有硬碟空間之和,某個硬碟損毀只影響該硬碟中的數據, 無數據安全保障 。
容量:1+1=2,損毀:2-1=1
(2)RAID1:NAS可用空間為硬碟組中的容量最小的硬碟空間,某個硬碟損毀後由於有另一塊硬碟做備份,所以數據無恙,最少使用兩塊硬碟, 有數據安全保障 。為了充分利用硬碟空間盡量選用相同大小的硬碟組RAID1。
容量:1+1<=1,損毀:2-1=2(兩塊硬碟裏本來就儲存著相同的數據,讀取速度也會翻倍)
(4)RAID5:這個模式下至少需要3塊硬碟,其中一塊硬碟為校驗盤,某個硬碟損毀後更換硬碟即可進行數據重建,需要時間較長, 有數據安全保障。 容量:1+1+1=2,損毀:3-1=3
(5)RAID6:約等於是RAID5的加強pro版,校驗盤由一枚增加為兩枚, 有數據安全保障 。
RAID6≈RAID5 plus
(6)RAID10:這個模式下至少需要4塊硬碟,先兩個盤組RAID1,然後兩個raid1再組raid0, 有數據安全保障 。
RAID10=RAID0 + RAID1
▼除了豐富的Raid模式以外,企業極空間還加入了【全盤加密】功能,開啟後每次開啟或儲存池掛載,或者更換裝置時都需要輸入密碼,即便是硬碟被盜搶了作案者也只能束手無策。
▼在建立儲存池的時候會提示硬碟將要格式化,還特別提醒 請勿使用疊瓦盤元件RAID, 關於疊瓦盤與垂直盤區別這裏不做展開。
▼商用推薦使用 NAS專用硬碟, 希捷酷狼以及酷狼Pro全系均采用CMR傳統磁記錄技術,不存在SMR/CMR摸獎開盲盒的情況.。酷狼系列提供180TB/年的工作負載,不論是家用還是工作室、企業商業用,都可以盡管放心。
▼另外 希捷酷狼系列及酷狼Pro系列NAS硬碟全線附贈3年內免費原廠數據恢復服務1次 , 關鍵時刻能夠拯救無價的數據,更能避免當數據遺失時救不救、最多花多少錢救的煩惱 。酷狼系列硬碟的平均故障間隔時間達到了100萬小時,質保3年,而酷狼Pro的質保時限更是長達五年。
▼建立儲存池的過程中還可以進行SMART測試,並給出報告,保證硬碟的可靠性。
▼企業極空間(極空間)NAS裝置使用SSD做儲存相較群暉有明顯優點:群暉只認自家的SSD,其他SSD只能作為緩存盤,1100塊400G的價格著實讓人望而卻步。企業極空間P8有4個M.2盤位,我這裏使用了裝機拆下來的兩塊希捷酷魚530 SSD,現在的希捷SSD價效比相當可以。
▼希捷酷魚530采用 單面TLC顆粒,全新的NVME 2.0協定更加穩定高效,1024GB全足容量,比市面上的1TB SSD能夠多出20+GB的容量。 SSD的讀寫速度遠超過傳統機械硬碟,可以顯著提高數據的存取速度,提升NAS系統的響應速度,特別是在頻繁進行大量數據讀寫的虛擬機器、資料庫等套用場景中效果最為明顯。
▼另外SSD沒有機械部件,因此在抗震動和耐磨損方面比HDD更加可靠,同樣適合24/7不間斷執行的NAS環境,執行時幾乎不產生噪音,相比HDD,極空間ZOS系統更是可以在Docker容器、虛擬機器部署在SSD上時讓HDD直接休眠,降低裝置使用的功耗,延長機械硬碟使用壽命。希捷酷魚530定位於電競級,順序讀取速度至高可以達到7400MB/s,順序寫入速度6400MB/s,總負載最高可以達到1200TBW(重要),用在NAS上多少有點大材小用。
三、使用者帳號與檔許可權管理
3.1 員工工號管理
▼不要小瞧工號許可權管理,這是在企業級NAS上的必備功課,在很多品牌NAS上都實作不了這樣的功能。企業是對人的管理,體現在NAS上就是使用者的管理。 通常情況下企業的NAS裝置由技術部門委派專職人員進行運維,但運維人員不涉及具體業務(不對數據進行管理和使用,只能進行運維),因此通常在使用者、群組的管理上通常采用如下形式:部門群組由團隊管理員進行維護,在運維人員以上是超級管理員,通常這個許可權給到老板就行。
▼在極空間NAS中我們可以透過使用者中心功能進行新建與管理, 目前極空間不支持使用中文使用者名稱,希望以後能加上, 在不支持中文使用者名稱的情況下, 建議使用使用者名稱字首字全拼+後面文字拼音首字母的形式,比如說圓紫妹,就是yuanzm,遇到重復姓名的時候就加數位或xyz進行區分。 盡量不要使用這種用工種來建立使用者名稱的方式,後期員工離職等情況不好管理。
▼我們可以為每個使用者單獨建立工號,建立工號後提示是否進行後面的設定。
▼包括加入群組(部門)、控制可使用的套用、空間配額等功能可以按照自己的需求去設定。
▼除了單個建立使用者意外,極空間P8還支持直接從釘釘進行匯入以及樣版匯入功能。
▼由於我沒有釘釘的後台,這裏無法演示,但是對於像我目前就職的這種800+員工的中小企業,能直接從釘釘匯入使用者將極大的減少運維人員工作負擔。根據極空間的介紹, 未來還會支持企業微信和飛書, 更適合中國企業。
▼Excel匯入用起來相當方便,畢竟單獨建立使用者的話,光是需要輸入兩次(一次設定、一次確認)的密碼就足夠讓人煩死,在編輯、操作性上也優於文本文件模式。角色型別這裏有普通使用者、運維管理員、超級管理員三種選擇,個人覺得有些畫蛇添足,保持建立的使用者為預設普通使用者會更好一些。
(寫完以後突然又想到,對於像我們公司這種有30+分支營業機構的,對每個營業機構單獨設定超級管理員與運維管理員也是很方便的一件事),這個角色設定確實很妙,一點也不畫蛇添足,對於分支機構較多,分支機構單獨管理的情況很實用)
▼企業往往有密碼強度管理的需求,像是我們公司的OA、信箱等通常是要求一年至少更改一次密碼,透過極空間P8的密碼強度管理功能,我們可以輕松的設定使用者密碼設定規則、強制使用者變更初始密碼,控制密碼有效期等功能,相當舒服。
▼對於公司高層這種萬年不上指定套用,偶爾想起來上一下一定不記得密碼的情況,極空間P8也給出了 特權解決方案, 名單中的特權使用者可以享受密碼始終有效的待遇,這一點著實很有新意,人情世故被極空間拿捏的死死的。 普通使用者還可以開啟二次登入驗證,提高裝置安全性哦。
▼另外企業極空間也可以作為LDAPserver模式,直接作為帳戶伺服器為企業多個軟體系統及平台提供統一的帳號管理及統一登入,小企業也可以有自己的帳號系統,無需每個業務系統單獨一套帳號、密碼。
3.2 員工群組管理與檔許可權管理
▼就像我們前面說的,使用者管理就是對人的管理,員工群組管理也是對檔許可權的管理:不同部門的員工有不同的共用資料夾存取許可權,尤其是像財務部門,財富考核部門,相關數據更是不能讓其他使用者存取的。在進行群組管理前,最好先透過「檔管理」-「團隊檔」功能為各個部門建立好資料夾。
▼建立過程中也可以直接對群組、群組進行許可權設定, 建立團隊資料夾與建立使用者組這兩個步驟可以說是不分先後的,大家按照自己的操作習慣進行就行,個人推薦按照我這個操作步驟來做。
▼對於共用資料夾的許可權管理可以透過更細致的設定來保證檔安全,企業極空間中提供了相當豐富的許可權繼承方式。
▼接著使用使用者中心的群組列表功能進行群組建立即可,建立過程中可以控制該群組是否開啟分享和閃電傳功能。
▼建立群組過程中可以將該群組(部門)的使用者進行勾選。
▼接著就可以控制該群組(部門)的共用資料夾許可權了,這裏建立的是新疆營業部這個分支機構,故而只能讀寫該共用資料夾下的檔,其他共用資料夾無許可權,小夥伴們可以根據自己的需求進行設定。
▼接著是分配套用許可權,對於分支機構來說基本上有一個檔收集+文件同步就夠了。
▼至此我們就完成了使用者帳號、群組、與檔許可權管理工作,大家活學活用即可。 就像前面說的運維管理員角色是無法存取到NAS中的數據的,這樣就做到了IT不再淩駕於業務之上,這是群暉、威聯通等裝置都沒有的優點,這一點相當不錯。
四、搞定外網存取
4.1 外網存取、Web網頁端的使用
▼家用極空間web端存取是透過zconnect.cn進行登入的。
▼企業極空間放開了自有網域名稱與IP存取,在系統設定-外網存取服務中我們可以設定屬於自己的企業連線標識(其實相當於是一個二級網域名稱),我這裏建立的連線標識名為lajilaonaiba。
▼建立完成後會顯示出外網存取服務的網址連結。
▼員工只需要記住公司的企業標識(二級網域名稱)與極空間提供服務的主網域名稱(zes.cn),就可以在不同裝置上無需安裝客戶端進行使用了。員工在客戶電腦上進行下載部署客戶端或者別的什麽的時候,減少在客戶電腦上安裝的套用尤為好用。
▼使用zes.cn通道的好處在於天然有著證書的保護,http變成https之後怎麽看怎麽都順眼,這下在原有客戶端加密的基礎上,各個端有加密保護了。
▼測試從web端下載檔可以拉到3.1MB/s(30Mb寬頻上行)的速度,連線穩定高速,這一點確實比群暉、威聯通做的要好很多,這裏走Web進行存取的話,是一定會走中轉伺服器的。
4.2 自有頂級網域名稱:DDNS的使用
▼不少工作室,或者是達到了一定體量的企業都 有自己的頂級網域名稱 ,極空間提供的zes二級網域名稱(企業標識)可能就稍微有點看不上了,我們借助阿裏雲、騰訊雲、貝銳花生殼可以輕松實作企業極空間上頂級網域名稱,如果本身的網域名稱不在上面三家,可以考慮下將網域名稱進行遷入。
▼在自己的網域名稱提供商處獲取自己的SecretID與SecreKey貼上之後,再填入自己的網域名稱就大功告成了,只不過使用動態網域名稱的小夥伴80、443這些預設埠無法備案,日後存取網域名稱都需要使用連帶上埠號。 具體選用企業極空間內建的ZES.CN還是網域名稱商的,小夥伴們自行抉擇。 另外內建的動態網域名稱解析同樣支持IPv6,更符合當下的主流趨勢。
五、檔的存取與使用
5.1 PC客戶端的使用
▼對於企業內的使用者,相對來說還是PC客戶端的使用率更高一些,裝在自己的電腦上不論是Desktop還是laptop使用都會方便很多。企業極空間軟體提供了帳號登入與IP直連聯眾連線模式,其中帳號登入的第一欄只需要填寫企業標識即可快速存取。
▼即便在區域網路中使用企業標識進行登入,裝置也能自動辨識出連線裝置與NAS裝置是否處於同一區域網路連線,可以看到這裏的下載速度來到了112MB/s。運維人員也不需要費勁巴拉的告訴使用者如何進行區域網路連線了。
▼我家裏有兩條寬頻,可以很方便的進行外網連線測試,可以看到使用PC客戶端的話,下載速度能夠拉到8MB/s左右,通常在6-7MB/s左右浮動,畢竟我只有50Mb的上行寬頻,幾乎已經跑慢了,相當完美。
▼當然有些企業的NAS裝置是單獨供企業內網使用的,這時候我們就可以使用IP直連的方式,讓企業內使用者進行存取。
▼在軟體內部,Office三件套都是能直接開啟進行預覽的。
▼支持線上編輯屬於基操了。
▼內部借助的工具是WPS,從體驗上來講幾乎和Windows版無異,舒服的很,現在很多企業都在使用騰訊文件或者是釘釘文件來提升團隊的工作效率,要我說在自有NAS裏面進行編輯才是最快捷和最方便的。
5.2 手機客戶端的使用
▼企業極空間同樣提供了手機App套用,個人感覺企業極空間App的顯示界面比家用App的UI更簡潔更好看。
5.3 PC檔的使用(SMB)
▼目前企業極空間提供了Samba(內網)與WebDAV(外網)兩種協定進行在地化的NAS檔存取。
▼目前缺少了家用極空間直接掛載為磁盤的功能,按照極空間的規劃,後面會直接上新版本,比現有功能豐富,並且會同步C端更新。
▼將NAS掛載為網路磁盤也是NAS常用的檔管理方式之一,我們這裏簡單的介紹一下,在此電腦中-對映網路驅動器。
▼按照\\server\share的格式(NAS ip地址+共用資料夾名稱),輸入使用者名稱與密碼即可存取對應的共用資料夾。 註意在極空間裝置中使用者名稱是區分大小寫的。
▼接著我們就可以像存取本地檔一樣存取企業NAS了。
5.4 檔的收集與共享
▼其實從底層上來說,SMB+客戶端的形式就足以滿足企業內部檔收集的需求,不過極空間提供的檔收集套用著實很好用,我感覺不得不推薦一下。它的收集不論是對內還是對外都適用,之前我向Hundsun要一點資料,對方使用QQ發送,結果上傳檔太多被限制,我用一手極空間檔收集就足以驚艷到他們,特別方便,對於學校來說,用來收集作業也是極好的。
▼對於使用企業極空間分享的檔、收集任務都能在分享管理中一目了然,並且可以進行控制,企業生產力效率+1。運維管理員是看不到已經被業務人員接管的團隊分組資料夾連結的哦,充分保障業務數據不外露,資源回收桶、快照等也做了對應規避。
六、安全防護部署
▼NAS的安全防護無非事前主動預防與後期安全事件應對,市面上較為成熟的NAS系統基本上內核都是Linux,不管是綠聯UGOS的openwrt、還是群暉的Debian,企業極空間的EZOS系統直接脫離了C端對系統進行了重塑,采用了Ubuntu內核,運維人應該都能更好的上手。
6.1 事前安全防控
▼既然底層是Linux系統,就像我們平時用的windows一樣,安裝防毒軟體自然不在話下,別管用不用的上,這東西就是防範於未然,有就是比沒有安心。目前來看按照EZOS的原定計劃應該是會直接提供病毒查殺功能,充分保護使用者的數據安全,不過目前似乎沒看到,坐等後期OTA。群暉、威聯通等裝置在套用中心裏也能找到相應的軟體。
▼勒索病毒也曾讓NAS使用者談勒色變,針對這個情況極空間EZOS也有做應對,目前仍是敬請期待,目前我的了解是防勒索將會移植C端方案,待測試穩定後就會上線。
▼防火墻也應該開啟,極空間EZOS的這個測率很不錯,可以透過套用埠進行控制,也可以透過發起端IP進行控制,同時也可以設定該位置究竟是拒絕還是允許,在防火墻規則之下能夠極大的避免NAS在廣域網路內受到攻擊的風險。
▼登陸管理是安全防控的重要基礎環節之一,使用者登陸的時間、使用者名稱、IP地址一目了然。
▼外網禁止存取功能夠將員工存取條件進行限制,配合特定群組的特定共用資料夾使用,可以實作僅前台行銷人員能夠對外展示資料的效果,需要臨時使用外網服務的員工,走OA流程進行單獨申請控制。
▼在IP封鎖中開啟自動封鎖IP功能,對於多次嘗試爆破的IP直接拉黑,在預設不開啟的情況下記得自行開啟。
6.2 事後安全防控
▼事後防控主要是透過封鎖IP的方式進行,不過目前智慧控制到客戶端與Webdav,未來應該會有進一步完善。
七、企業內套用部署
7.1 常用套用
▼有些企業會禁止使用者進行下載操作,有些單位比如酒店、KTV等需要影音視訊檔,這種在部署的時候主要看客戶的具體需求了。極影視倒是酒店類、民宿類服務必備的套用,極空間EZOS的其他套用似乎多少還是有不少C端的邏輯, 據說未來會接入合作的第三方套用,拭目以待吧。
7.2 個人化套用部署
▼使用過極空間家用版的小夥伴都知道,ZOS系統並沒有開放SSH許可權,更不要說root全許可權,在面向B端的EZOS終究是放開了SSH存取,畢竟企業的運維人員大多有專業背景,使用命令列對他們來說可能比圖形界面還要方便。常見的客戶需要部署的計畫比如說網路印表機、資料庫這些,可以透過ssh快捷部署,對於運維人員來說更有用。個人覺得ToB端確實不是那麽好做的,任重而道遠。
八、寫在最後的總結
其實工作室、企業NAS布局還是蠻簡單的,沒有想象中的那麽復雜,只是有一些沒有專門IT運維崗位的小型企業、工作室在做NAS部署的時候會有一點點不敢去做。只要按照文中的步驟基本上就能滿足B端90%以上的需求。
另外點評一下極空間的第一款企業級NAS P8,硬體做工以及效能上個人認為都很不錯,模組化涉及、雙電源、內建UPS的加入讓裝置的大大提高,PCIe擴充套件槽的加入讓裝置未來的拓展性大大增加。
價效比上,效能比競品威聯通873A、群暉1621+都要強不少,啥,你說為啥和1621+比,因為按照群暉的命名邏輯,P8也是一款16盤位的裝置呀,但是群暉一個拓展櫃就要小4K呢。
至於系統,能感覺到極空間在EZOS上的努力,但就目前的系統來說,絕對稱不上是完全體,坐等更新吧。
