新闻中心

群晖怎么样应对企业级存储需求？从DS1522+出发谈谈权限与安全

作者：新闻中心时间：2024-01-13 14:54:52 点击：1

我最近给工作室添置了一台群晖DS1522+，5盘位的万兆NAS，我主要用来存储与管理素材使用。如今已经使用了一个月，所以就来给大家介绍关于群晖企业级应用的一些实际体验，看看群晖作为NAS行业全球第一的巨头，它的企业级应用到底好用在哪里？

首先介绍下工作室的业务情况，该工作室的主体业务是信息流视频拍摄与投放，这就从另一方面代表着每周都会有海量的视频素材，以及不同人员参与不同视频制作流程，光素材部分就涉及到后期的粗剪精剪、配音、调色等，成片还要送审以及留存工程文件。

这就意味着要拥有非常完善的权限管理以及数据安全，最好还要有完善的日志审计、灵活授权管理、文件外发管理等，而把这些功能做得最好的就是群晖。

这次我就着群晖DS1522+配合新推出的DSM 7.2版本更新，来给大家介绍群晖企业级NAS的使用者真实的体验到底如何，以及此次系统升级的重点功能。

群晖DS1522+，群晖Plus系列5盘位NAS，专为工作室设计的多功能数据中心，能够完全满足团队工作室数据管理需求。它的主要特征如下：

2、它有 5 个 SATA 硬盘槽，支持SHR, RAID 0, 1, 5, 6, 10 等多种阵列模式，最大可扩展到 15 个硬盘槽，提供大容量和数据安全性。

3、它有 2 个 M.2 NVMe SSD 插槽，能够适用于 SSD 缓存或创建 SSD 存储池，提高数据读写性能和响应速度。

4、它有 4 个千兆网口，支持链路聚合和故障转移功能，提高网络吞吐量和可靠性。它还有一个预留的网络升级插槽，能安装 Synology 的万兆网卡，实现更快的网络传输速度。

5、它运行 Synology DiskStation Manager (DSM) 操作系统，提供了丰富的应用程序和功能，如文件共享、数据备份、多媒体管理、视频监控等，满足家庭和工作室的数据管理需求。

我给这台小钢炮配的5块22T酷狼Pro系列的NAS硬盘，希捷酷狼Pro硬盘使用致力于预防、干预和恢复的 IronWolf Health Management （IHM）酷狼健康管理软件积极保护NAS 网络存储，为NAS存储环境提供的多项优化与保护的方法，而且官方提供五年质保和3 年内免费原厂数据恢复服务（Seagate Rescue Data Recovery Services，SRS）1 次。

接下来，我将从DS1522+在工作室的实际应用出发，来聊聊关于企业场景用户怎么样去使用群晖更好的保护数据安全？

首先，咱们要明白，Synology NAS是为专业的个人及企业场景设计的专业数据存储。

对于企业用户来说，NAS作为公司数据存储的中心，重点在于安全的备份与存储重要数据及多人数据共享与协作。数据的安全及管理是首要重点，在企业里面的数据管理我们常见到的痛点有：

1、数据权限问题：以往常的读、写、执行权限对于用户来说往往难以理解，需要更简单的数据共享方式来避免潜在的泄露风险；

2、数据管理问题：再安全的系统也无法防止管理者的手滑，一些重要数据的外泄也是因文件权限配置疏忽，导致文件被错误的共享；

3、数据安全问题：勒索病毒盯上NAS，存储系统一旦破防，企业面临巨大的数据安全风险隐患，重要数据将被加密勒索。希望能有更安全的防护手段为数据安全加上第二把锁。

磁盘阵列（Redundant Arrays of Independent Disks，RAID），有“独立磁盘构成的具有冗余能力的阵列”之意。磁盘阵列是由很多价格较便宜的磁盘，组合成一个容量巨大的磁盘组，利用个别磁盘提供数据所产生加成效果提升整个磁盘系统效能。利用这项技术，将数据切割成许多区段，分别存放在各个硬盘上。

简而言之，RAID能够给大家提供安全性、读写性能、存储池容量，具体根据阵列类型而定！

JBOD（Just a bunch of disk）严格上来说不是一种RAID，因为它只是简单将多个磁盘合并成一个大的逻辑盘，并没有一点的数据冗余。数据的存放机制就是从第一块磁盘开始依序向后存储数据。如果某个磁盘损毁，则该盘上的数据就会丢失。

RAID 0无冗余备份，存储池包含所有硬盘容量，硬盘全部用来提升读写能力。简单而言：假设10块硬盘组成RAID 0阵列，存储池读写能力变成单个硬盘的读写能力的10倍！硬盘只要损坏一块，阵列内所有硬盘的数据会立刻丢失。

RAID 1是一种镜像磁盘阵列，其原理是把一块硬盘的数据以相同位置指向另一块硬盘的位置。RAID 1又称为Mirror或Mirroring，它的宗旨是最大限度的保证用户数据的可用性和可修复性。它只支持2块硬盘。存储池容量只有单块硬盘容量大小，不能提高存储性能，硬盘可以允许随机损坏一块。它的高数据安全性，非常适合于存放重要数据，如服务器和数据库存储等领域。

RAID 5将数据以块为单位分布到各个硬盘上。RAID5不对数据来进行备份，而是把数据和与其相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。它的容量为（n-1）块硬盘总容量，存储性能提升（n-1）倍，硬盘可以允许随机损坏一块。

RAID 6同RAID5一样，数据和校验码都是被分成数据块然后分别存储到磁盘阵列的各个硬盘上。RAID6加入了一个独立的校验磁盘，它把分布在各个磁盘上的校验码都备份在一起，这样RAID6磁盘阵列就答应多个磁盘同时发生故障，它会进行两次奇偶校验，以提供写入保护，因而RAID 6的写入速度小于其它级别的RAID。RAID 6容量为（n-2）块硬盘总容量，存储性能提升（n-2）倍，硬盘可以允许随机损坏2块。但是在4块硬盘的情况下，RAID 6的计算相较于RAID 10而言会更加密集，所以重建速度较慢。

RAID 10其实结构格外的简单，首先创建2个独立的RAID 1，然后将这两个独立的RAID 1组成一个RAID 0，RAID 10容量为2块硬盘总容量，存储性能提升2倍，硬盘可以有效的预防两个磁盘同时发生故障，但是这两块硬盘不能是存储同一份数据的硬盘。如果发生意外，RAID 10重建速度较RAID 6更快。

Synology Hybrid RAID (SHR) 是一种自动化 RAID 管理系统，专为简化存储管理以及满足不熟悉 RAID 类型的新用户而设计。SHR 可组合不同容量的硬盘来创建一个存储空间，并优化容量和性能、占用更少的硬盘空间以及提供更灵活的存储方案。当包含足够的硬盘时，SHR 允许 1 个或 2 个硬盘冗余，这在某种程度上预示着 SHR 存储空间能经受住一个或两个硬盘出现故障而不会造成数据丢失。

如果硬盘容量不同，SHR可以最大化利用空间，如下图。同样是 5 块不同容量的硬盘， SHR 可用空间就比 RAID5 更多。

大家之前应该都玩过单机游戏，大多数单机游戏都有存档功能，你可以任意时候选择存档，如果后面GAME OVER就可以读档接着来。快照就是一个存档功能。

群晖提供的快照和恢复工具，和游戏中的存档一致，你可以主动存档，也可设为定时自动存档，如每周一次。群晖快照为数据提供区块级保护，可以锁定快照时间点数据的完整状态，文件如被病毒加密，能够迅速恢复到完好时间点状态，数据不会丢失。

在通过Hyper Backup进行文件或者文件夹备份的时候，群晖NAS可为文件提供最多32个历史版本，遭遇误删。

同时使用Synology Drive的时候，也可以为文件夹启用版本控制，版本数量上限能够达到32个。

传统的3-2-1数据备份原则作为黄金数据保护法则，对于任何存储环境均行之有效。跟着时间推移，它如今已经演化成为各种企业级数据保护方案最基本的概念。然而下放到消费级而言，咱们依然可以从根本出发来实施该原则，它能够给大家提供安全的数据保护，以及遇到灾难后的数据还原。

数据备份的3-2-1规则规定，应在两个不同的存储介质上至少存储三个数据副本或版本，其中一个不在现场设施中存储。以下了解这三个要素中的每个要素及其要解决的问题：

3个数据副本：除了原有的副本，你应该始终让你的重要数据有两个额外的备份副本，无论是存储在服务器、NAS、硬盘驱动器、网盘或另外的地方。这将确保不会发生一次单一的事件而毁掉所有重要数据的情况。

2种不同的存储介质：用户应该将数据的副本以至少两种不同的媒介或存储类型保存。这可能包括一个内部驱动器，以及外部媒介，如磁盘、磁带、闪存、以及NAS或云盘存储。理想情况下，本地备份的其中之一应该采用映像技术，例如苹果公司的Time Machine其能够备份整个操作系统、应用程序和文件来创建本地备份，所以您不必重新安装或重新配置您的系统偏好了。从本质上讲，映像备份可让您将总系统恢复到一个特定的时间点。每种媒介都有不同的故障模式，而这就保证了不会有一样的故障模式。

1个异地备份：将至少一份备份存储在异地是保证数据免于受到类似火灾，水灾或盗窃等物理灾难损害的必要措施。当您已经对您重要的数据创建了多个副本之后，保存初始原件的完整性就显得异常重要，否则有该原件所备份的每个副本都会有相同的缺陷。如果你将其存储到多个位置，必须检查所有文件都是一致的。这样，重复数据删除技术将确保你能消除冗余的数据块，而加密将增加安全性，而分类编目和索引将方便您进行快速检索。

3-2-1数据备份原则一直是很好的法则，如果玩家能理解并且遵守这个原则，那么找数据保护层面会节省大量的时间和成本。

Hyper Backup是一个备份工具，通过 Hyper Backup，可保留最多达 65,535 个版本的数据，同时通过跨版本重复数据删除功能，使存储空间消耗最小化。备份的数据保留在一个拥有专利的数据库中，该数据库可通过 DSM、Windows 和 Linux 平台上专门设计的多版本资源管理器来浏览、下载或还原。它能够把数据备份到3个地方：

至于 Cloud Sync就是一个与云端同步的工具，通过 Cloud Sync，您可在 Synology NAS 与以下多个公有云服务之间进行无缝同步并共享文件。

虽然我们大家可以通过Hyper Backup、Cloud Sync实现文件的同步，以及Drive套件实现文档等数据的实时同步与备份，但是群晖还为企业级用户提供了更加强大的整机备份套件：Active Backup for Business。

注意，群晖也是目前所有NAS里面唯一一个支持Windows系统整机备份的品牌，技术极其厉害！

再来聊聊关于网络安全，关于NAS的安全一直都是很多玩家在意的，群晖在安全方面自然也是极其流弊。

群晖NAS可以自动封锁恶意尝试登录的IP，也能针对恶意攻击、人为误操作等突发状况发送预警，从源端防范恶意攻击。

群晖还支持TLS/SSL加密协议来用于安全连接。注意，群晖是免费提供SSL证书的，这点真的是太棒了！这意味着在外面随时能够最终靠https访问家中的NAS，更加安全。

群晖提供账号二次认证，用户使用密码登录后再配合动态验证码，或在手机客户端上一键授权登录操作，避免密码泄露账号被盗用。

虽然双重验证 (2FA) 提升了安全性，但也增加了从信任设备或网络登录所需的时间。现在，在DSM7.2里面，系统会针对所有使用传统密码登录的 DSM 管理员帐户强制执行智能多重验证 (AMFA)，仅要求使用较安全的 2FA 方式登录。

另外在DSM 7.2系统中，群晖扩充了自动封锁功能，将 SMB 连接也纳入保护范围，保护安全性较弱的凭证，大幅减缓暴力攻击成功的可能性。而且QuickConnect 服务器现在可在多次验证尝试失败后，全局禁止 IP 地址。

群晖在DSM 7.2 扩充了 SSO Server 和 SSO 客户端协议支持，无论使用哪家服务供应商，都能使用单一帐号存取。一个账号走天下了。

在所有的NAS里面，群晖的精细化权限控制是做得最好的。一般轻NAS的权限都很简单，虽然在家里够用，但是涉及到5人以上的团队，权限问题就展现了：1. 共享文件夹：权限只能由管理员来设置，而且只有只读、读写、不可访问这三种权限

3.在电脑上通过SMB访问时，不支持对文件夹做权限设置，都要在客户端进行操作

群晖提供精细的权限控制，可以根据需要授权用户或群组访问不同的文件夹，并设置可读、可写、可读写、只读和自定义权限等选项。

速度限制是指通过文件管理器，FTP协议，Rsync同步以及Synology Drive同步的时候所读写的速度。

群晖最强的权限管理就在自定义里面，这是其他家 NAS都没有深度细化，在自定义里面可以看到子文件夹的权限都可以编辑，就连管理、读取、写入功能都可以再次深入细化。

如果公司人数特别多，管理起来特别麻烦，，那么群晖还支持系统管理员将用户与群组管理、共享文件夹管理等权限下放，就是委派管理，这样可以减少管理员工作量。

另外，即使分享对外的文件，你在群晖协作文档依然可以禁止共享文档的下载保存与复制。

关于登录这块，群晖还可以与Windows AD、LDAP等身份认证系统集成，支持 SSO 单点登录，实现与其他资源的统一管理。

而在局域网使用NAS的时候，很多玩家采用的SMB协议，该协议群晖依然做了优化，其拥有完整的权限控制。群晖NAS支持完整 Windows ACL，工作室的员工能够最终靠 SMB 访问文件，在电脑上用最熟悉的方式管理文件。

首先是日志审计这个，群晖 NAS 提供日志中心，可以记录文件操作事件，包括访问、删除、重命名、拷贝等操作。管理员能够准确的通过帐号、日期等条件查看和检索日志。

其次是灵活授权管理，也就是委派管理，更好的理清员工权限，由部分主管负责部门下面的员工的权限，这样子更加贴合实际需求。

最后还是文件外发管理，比如我分享一个文件，可以再一次进行选择如果是内部员工就需要登录自己的DSM账号，如果是外部员工可以再一次进行选择密码保护。而且还可以再一次进行选择访问次数，有效时间等。

群晖把权限分为预览者，审阅者，查看者，评论者，编辑者，管理者。每个权限都不一样。

群晖的最大优势从来不是硬件，而是在于稳定的使用体验、专业且丰富的软件生态、安全的数据管理。那么接下来带大家来整体看看，群晖此次主打提升企业级使用者真实的体验的DSM7.2实际体验如何，都有新增哪些安全及实用功能。

群晖的应用套件生态是DSM系统的一大亮点，我们仅需通过套件中心选择相应的套件分类即可查找选择自身所需的产品功能或是套件安装即可。

群晖的企业应用中最核心且不可忽视的要属Synology Drive，它是更高效人性化的数据文件管理方式、相比传统NAS文件管理，Drive更像是云盘，可以很方便的使用存储数据，以及管理共享，同时也支持各种设备的客户端能轻松实现数据备份以及同步。最重要的是，Drive还支持历史版本（可自定义版本数量，上限32个），这个功能对公司来说更重要，如果遭遇误删误操作，也能恢复。

在Synology Drive中，我们大家可以十分便捷的使用Synology Office实现办公文档三件套的多人团队协作，在系统套件中心点击安装Synology Office后，再Drive中点击创建文档、表格、幻灯片后即可进入文档在线编辑模式

近期群晖新推出的DSM7.2系统更新，为Docker套件带来了全新的操作UI，升级为Container Manager，支持了YMAL格式部署，对于开发相关的小伙伴来说是非常得心的新功能，新套件可以越来越好的运行、开发和测试轻量的虚拟应用程序。

DS1522+作为群晖企业级NAS也支持高可靠性的双机热备功能，使用Synology High Availability套件即可将另外一台同型号同样存储空间的NAS组成HA集群，实现双倍的可靠性以及数据安全。