前段时间收了500块帮本地的一加室内设计工作室部署NAS环境,讲道理这钱赚的我都有点不好意思。刚好最近参与了极空间企业级P8的内测,就用它做演示,整理一篇工作室、企业NAS环境部署方案攻略,帮大家少花“冤枉钱”。
一、NAS网络环境布置1.1 硬件设备及网线布置▼就拿找我布置NAS环境的工作室来举个例子吧,中小型企业可以依次发散一下就行。
客户是一个4人室内设计工作室,未来可能会考虑扩至6人,每人的主力办公电脑是台式机,配有笔记本电脑,以及一台电视。现有网络环境使用光猫拨号加路由器做网络信号,放在电视后面,所有设备使用无线WiFi连接。
▼首先要明确一点:想要高速、稳定访问NAS设备,首先需要访问设备与NAS进行有线连接,路由器往往满足不了需求,最好是配合交换机使用,也不需要管理型的,有一个非管理型的就行,SKS1200交换机,体积小巧,200多元就给到了8个自适应2.5G电口以及1个10G光口的配置。如果企业内设备较多的话可以采用“串联”交换机的形式进行扩展,而且通常会采用“管理型”交换机。
▼对原有网络布线布局进行简单调整,主要生产力台式机使用有线网络进行连接,这里在实操时一定要估算好网线的长度进行采购,一次做好省心省事。对于企业来说,基本上每个工位都会预留有网络接口,就更简单了,不再赘述。
▼网络拓扑图如下:光猫桥接、路由器拨号是为了更好的做端口转发,毕竟运营商带的光猫很可能性能羸弱,让路由器来承担拨号的任务更有助于释放路由器的全部性能。
1.2 申请公网IP(可选项,非必须)▼这个主要是针对群晖、黑群晖用户说的,毕竟QC的速度会稍微慢一点,黑群晖用户更是需要自己折腾外网访问,像是以极空间为代表的新星NAS品牌,外网访问速度基本上都能够跑满NAS环境的上行宽带。别的地区不太清楚,山西这里,电信用户打10000号直接要公网IP说要做监控直接就给了。
二、初始化设置2.1 演示用设备,企业极空间P8 NAS▼P8是极空间专为ToB端企业服务打造的NAS设备,整体材质采用塑料面板+全钢机身的组合,从正面看过去有黑银撞色效果,在机柜中会更显眼一些,方便定位。个人觉得这个外观设计有点偏年轻化,不知道企业中管事的老古董们会不会打心底里有些拒绝。
▼前置面板上设计有USB Type-C、Type-A传输接口各一个,以及电源按钮,针对现在越来越多的C-C存储设备更加友好。
▼硬盘物理锁保护作为企业级NAS设备必备的功能,在P8上自然也没有缺席。
▼设备的两侧设计有提手凹槽,并且有螺丝孔位,可以方便的上机柜。
▼极空间P8采用了快拆式、模块化双电源设计,主打一个重视设备安全与更换便捷。
▼机器内部直接设计有UPS模块,切记UPS主要是应急,不可当作移动电源使用,而且UPS可能会随着时间老化,续航时间会有所衰减。不过对于工作室、中小企业省下了另外选购UPS时间、金钱成本,也减少了放置UPS的所需的空间,很是方便。UPS的主要作用在于保护设备远离异常断电,降低硬盘、设备损坏的风险,对于P8来说这个模块化的UPS供电可以说是领先大部分同行了。
▼背面的接口相当豪华,提供了2个10Gbps rj45网络接口,3个USB-A接口,一个HDMI视频输出接口以及2个可以用来扩展盘位的eSATA接口,配合极空间A4硬盘扩展柜使用还可以再扩展8个3.5英寸盘位出来,如果按照群晖的命名逻辑,P8不应该叫P8,应该叫P16(手动狗头)。
▼来到P8的底部位置,可以看到给到了相当充足的散热孔位,整块底部面板使用快拆螺丝固定。
▼拧下后就可以看到内部的空间主板设计有4个M.2接口,考虑到极空间原生支持使用M.2硬盘作为存储空间,其实P8相当于拥有8+4共12盘位。内存使用DDR4笔记本内存支持ECC,海力士颗粒,2400MHz频率。
▼P8预留了一个PCIe 3.0 x8的扩展槽,用户可以自行增加硬件扩展设备,期待一个极空间官方的兼容性列表,未来用NAS直接炼丹多是一件美事啊。
2.2 查找并初始化设备▼企业极空间软件提供了设备查找功能,相较群晖、威联通那种单独做一个叫做Assistant的应用操作起来要方便很多,而且软件本身集合了NAS使用的功能。企业极空间的初始化设置做到了“傻瓜式”,用起来很方便。
▼简单的查找就能够找到设备,Next下一步即可。
▼偶有查找不到的情况,可以借助路由器后台,查看有线连接的设备,就能找到NAS的IP地址。
▼或者也可以通过输入设备SN码、网线直连配置等方法进行初始化设置。
2.3 创建超级管理员账户▼最开始设置的是超级管理员账户,就是说拥有全权限的账户,个人建议这个账户完成设置后交由老板保管。
2.4 创建外网访问服务▼接着会进入到外网访问设置,这里有个【企业连接标识】,说人话就是2级域名,这个我们放在后面继续说。
2.5 创建存储空间▼硬盘装进设备以后,系统并不是能够直接进行使用的,需要进行存储池的创建,存储池简单点说就是把几块硬盘,用哪种Raid形式组成一个存储空间。
▼初始化设置流程中没有进行设置的话也可以使用存储管理功能进行设置。
▼企业极空间的存储池类型提供了包括Basic、RAID1、RADI5、RAID6、RAID10共5种模式。由于跟配额、权限等功能冲突,在家用极空间上的ZDR模式不见了踪影。软件界面对于最小硬盘数、冗余度、可用空间(有效空间)也做了简单易懂的描述。
(1)Basic模式,NAS可用总空间等于所有硬盘空间之和,某个硬盘损毁只影响该硬盘中的数据,无数据安全保障。
容量:1+1=2,损毁:2-1=1
(2)RAID1:NAS可用空间为硬盘组中的容量最小的硬盘空间,某个硬盘损毁后由于有另一块硬盘做备份,所以数据无恙,最少使用两块硬盘,有数据安全保障。为了充分利用硬盘空间尽量选用相同大小的硬盘组RAID1。
容量:1+1<=1,损毁:2-1=2(两块硬盘里本来就存储着相同的数据,读取速度也会翻倍)
(4)RAID5:这个模式下至少需要3块硬盘,其中一块硬盘为校验盘,某个硬盘损毁后更换硬盘即可进行数据重建,需要时间较长,有数据安全保障。容量:1+1+1=2,损毁:3-1=3
(5)RAID6:约等于是RAID5的加强pro版,校验盘由一枚增加为两枚,有数据安全保障。
RAID6≈RAID5 plus
(6)RAID10:这个模式下至少需要4块硬盘,先两个盘组RAID1,然后两个raid1再组raid0,有数据安全保障。
RAID10=RAID0 + RAID1
▼除了丰富的Raid模式以外,企业极空间还加入了【全盘加密】功能,开启后每次开启或存储池挂载,或者更换设备时都需要输入密码,即便是硬盘被盗抢了作案者也只能束手无策。
▼在创建存储池的时候会提示硬盘将要格式化,还特别提醒请勿使用叠瓦盘组件RAID,关于叠瓦盘与垂直盘区别这里不做展开。
▼商用推荐使用NAS专用硬盘,希捷酷狼以及酷狼Pro全系均采用CMR传统磁记录技术,不存在SMR/CMR摸奖开盲盒的情况.。酷狼系列提供180TB/年的工作负载,不论是家用还是工作室、企业商业用,都可以尽管放心。
▼另外希捷酷狼系列及酷狼Pro系列NAS硬盘全线附赠3年内免费原厂数据恢复服务1次,关键时刻能够拯救无价的数据,更能避免当数据丢失时救不救、最多花多少钱救的烦恼。酷狼系列硬盘的平均故障间隔时间达到了100万小时,质保3年,而酷狼Pro的质保时限更是长达五年。
▼创建存储池的过程中还可以进行SMART测试,并给出报告,保证硬盘的可靠性。
▼企业极空间(极空间)NAS设备使用SSD做存储相较群晖有明显优点:群晖只认自家的SSD,其他SSD只能作为缓存盘,1100块400G的价格着实让人望而却步。企业极空间P8有4个M.2盘位,我这里使用了装机拆下来的两块希捷酷鱼530 SSD,现在的希捷SSD性价比相当可以。
▼希捷酷鱼530采用单面TLC颗粒,全新的NVME 2.0协议更加稳定高效,1024GB全足容量,比市面上的1TB SSD能够多出20+GB的容量。SSD的读写速度远超过传统机械硬盘,可以显著提高数据的存取速度,提升NAS系统的响应速度,特别是在频繁进行大量数据读写的虚拟机、数据库等应用场景中效果最为明显。
▼另外SSD没有机械部件,因此在抗震动和耐磨损方面比HDD更加可靠,同样适合24/7不间断运行的NAS环境,运行时几乎不产生噪音,相比HDD,极空间ZOS系统更是可以在Docker容器、虚拟机部署在SSD上时让HDD直接休眠,降低设备使用的功耗,延长机械硬盘使用寿命。希捷酷鱼530定位于电竞级,顺序读取速度至高可以达到7400MB/s,顺序写入速度6400MB/s,总负载最高可以达到1200TBW(重要),用在NAS上多少有点大材小用。
三、用户账号与文件权限管理3.1 员工工号管理▼不要小瞧工号权限管理,这是在企业级NAS上的必备功课,在很多品牌NAS上都实现不了这样的功能。企业是对人的管理,体现在NAS上就是用户的管理。通常情况下企业的NAS设备由技术部门委派专职人员进行运维,但运维人员不涉及具体业务(不对数据进行管理和使用,只能进行运维),因此通常在用户、群组的管理上通常采用如下形式:部门群组由团队管理员进行维护,在运维人员以上是超级管理员,通常这个权限给到老板就行。
▼在极空间NAS中我们可以通过用户中心功能进行新建与管理,目前极空间不支持使用中文用户名,希望以后能加上,在不支持中文用户名的情况下,建议使用用户名字首字全拼+后面文字拼音首字母的形式,比如说圆紫妹,就是yuanzm,遇到重复姓名的时候就加数字或xyz进行区分。尽量不要使用这种用工种来创建用户名的方式,后期员工离职等情况不好管理。
▼我们可以为每个用户单独创建工号,创建工号后提示是否进行后面的设置。
▼包括加入群组(部门)、控制可使用的应用、空间配额等功能可以按照自己的需求去设定。
▼除了单个创建用户意外,极空间P8还支持直接从钉钉进行导入以及模板导入功能。
▼由于我没有钉钉的后台,这里无法演示,但是对于像我目前就职的这种800+员工的中小企业,能直接从钉钉导入用户将极大的减少运维人员工作负担。根据极空间的介绍,未来还会支持企业微信和飞书,更适合中国企业。
▼Excel导入用起来相当方便,毕竟单独创建用户的话,光是需要输入两次(一次设置、一次确认)的密码就足够让人烦死,在编辑、操作性上也优于文本文档模式。角色类型这里有普通用户、运维管理员、超级管理员三种选择,个人觉得有些画蛇添足,保持创建的用户为默认普通用户会更好一些。
(写完以后突然又想到,对于像我们公司这种有30+分支营业机构的,对每个营业机构单独设置超级管理员与运维管理员也是很方便的一件事),这个角色设置确实很妙,一点也不画蛇添足,对于分支机构较多,分支机构单独管理的情况很实用)
▼企业往往有密码强度管理的需求,像是我们公司的OA、邮箱等通常是要求一年至少更改一次密码,通过极空间P8的密码强度管理功能,我们可以轻松的设置用户密码设置规则、强制用户变更初始密码,控制密码有效期等功能,相当舒服。
▼对于公司高层这种万年不上指定应用,偶尔想起来上一下一定不记得密码的情况,极空间P8也给出了特权解决方案,名单中的特权用户可以享受密码始终有效的待遇,这一点着实很有新意,人情世故被极空间拿捏的死死的。普通用户还可以开启二次登录验证,提高设备安全性哦。
▼另外企业极空间也可以作为LDAPserver模式,直接作为账户服务器为企业多个软件系统及平台提供统一的账号管理及统一登录,小企业也可以有自己的账号系统,无需每个业务系统单独一套账号、密码。
3.2 员工群组管理与文件权限管理▼就像我们前面说的,用户管理就是对人的管理,员工群组管理也是对文件权限的管理:不同部门的员工有不同的共享文件夹访问权限,尤其是像财务部门,财富考核部门,相关数据更是不能让其他用户访问的。在进行群组管理前,最好先通过“文件管理”-“团队文件”功能为各个部门创建好文件夹。
▼创建过程中也可以直接对群组、群组进行权限设置,创建团队文件夹与创建用户组这两个步骤可以说是不分先后的,大家按照自己的操作习惯进行就行,个人推荐按照我这个操作步骤来做。
▼对于共享文件夹的权限管理可以通过更细致的设定来保证文件安全,企业极空间中提供了相当丰富的权限继承方式。
▼接着使用用户中心的群组列表功能进行群组创建即可,创建过程中可以控制该群组是否开启分享和闪电传功能。
▼创建群组过程中可以将该群组(部门)的用户进行勾选。
▼接着就可以控制该群组(部门)的共享文件夹权限了,这里创建的是新疆营业部这个分支机构,故而只能读写该共享文件夹下的文件,其他共享文件夹无权限,小伙伴们可以根据自己的需求进行设置。
▼接着是分配应用权限,对于分支机构来说基本上有一个文件收集+文档同步就够了。
▼至此我们就完成了用户账号、群组、与文件权限管理工作,大家活学活用即可。就像前面说的运维管理员角色是无法访问到NAS中的数据的,这样就做到了IT不再凌驾于业务之上,这是群晖、威联通等设备都没有的优点,这一点相当不错。
四、搞定外网访问4.1 外网访问、Web网页端的使用▼家用极空间web端访问是通过zconnect.cn进行登录的。
▼企业极空间放开了自有域名与IP访问,在系统设置-外网访问服务中我们可以设置属于自己的企业连接标识(其实相当于是一个二级域名),我这里创建的连接标识名为lajilaonaiba。
▼创建完成后会显示出外网访问服务的网址链接。
▼员工只需要记住公司的企业标识(二级域名)与极空间提供服务的主域名(zes.cn),就可以在不同设备上无需安装客户端进行使用了。员工在客户电脑上进行下载部署客户端或者别的什么的时候,减少在客户电脑上安装的应用尤为好用。
▼使用zes.cn通道的好处在于天然有着证书的保护,http变成https之后怎么看怎么都顺眼,这下在原有客户端加密的基础上,各个端有加密保护了。
▼测试从web端下载文件可以拉到3.1MB/s(30Mb宽带上行)的速度,连接稳定高速,这一点确实比群晖、威联通做的要好很多,这里走Web进行访问的话,是一定会走中转服务器的。
4.2 自有顶级域名:DDNS的使用▼不少工作室,或者是达到了一定体量的企业都有自己的顶级域名,极空间提供的zes二级域名(企业标识)可能就稍微有点看不上了,我们借助阿里云、腾讯云、贝锐花生壳可以轻松实现企业极空间上顶级域名,如果本身的域名不在上面三家,可以考虑下将域名进行迁入。
▼在自己的域名提供商处获取自己的SecretID与SecreKey粘贴之后,再填入自己的域名就大功告成了,只不过使用动态域名的小伙伴80、443这些默认端口无法备案,日后访问域名都需要使用连带上端口号。具体选用企业极空间自带的ZES.CN还是域名商的,小伙伴们自行抉择。另外内置的动态域名解析同样支持IPv6,更符合当下的主流趋势。
五、文件的存取与使用5.1 PC客户端的使用▼对于企业内的用户,相对来说还是PC客户端的使用率更高一些,装在自己的电脑上不论是Desktop还是laptop使用都会方便很多。企业极空间软件提供了账号登录与IP直连联众连接模式,其中账号登录的第一栏只需要填写企业标识即可快速访问。
▼即便在局域网中使用企业标识进行登录,设备也能自动识别出连接设备与NAS设备是否处于同一局域网连接,可以看到这里的下载速度来到了112MB/s。运维人员也不需要费劲巴拉的告诉用户如何进行局域网连接了。
▼我家里有两条宽带,可以很方便的进行外网连接测试,可以看到使用PC客户端的话,下载速度能够拉到8MB/s左右,通常在6-7MB/s左右浮动,毕竟我只有50Mb的上行宽带,几乎已经跑慢了,相当完美。
▼当然有些企业的NAS设备是单独供企业内网使用的,这时候我们就可以使用IP直连的方式,让企业内用户进行访问。
▼在软件内部,Office三件套都是能直接打开进行预览的。
▼支持在线编辑属于基操了。
▼内部借助的工具是WPS,从体验上来讲几乎和Windows版无异,舒服的很,现在很多企业都在使用腾讯文档或者是钉钉文档来提升团队的工作效率,要我说在自有NAS里面进行编辑才是最快捷和最方便的。
5.2 手机客户端的使用▼企业极空间同样提供了手机App应用,个人感觉企业极空间App的显示界面比家用App的UI更简洁更好看。
5.3 PC文件的使用(SMB)▼目前企业极空间提供了Samba(内网)与WebDAV(外网)两种协议进行本地化的NAS文件访问。
▼目前缺少了家用极空间直接挂载为磁盘的功能,按照极空间的规划,后面会直接上新版本,比现有功能丰富,并且会同步C端更新。
▼将NAS挂载为网络磁盘也是NAS常用的文件管理方式之一,我们这里简单的介绍一下,在此电脑中-映射网络驱动器。
▼按照\\server\share的格式(NAS ip地址+共享文件夹名称),输入用户名与密码即可访问对应的共享文件夹。注意在极空间设备中用户名是区分大小写的。
▼接着我们就可以像访问本地文件一样访问企业NAS了。
5.4 文件的收集与共享▼其实从底层上来说,SMB+客户端的形式就足以满足企业内部文件收集的需求,不过极空间提供的文件收集应用着实很好用,我感觉不得不推荐一下。它的收集不论是对内还是对外都适用,之前我向Hundsun要一点资料,对方使用QQ发送,结果上传文件太多被限制,我用一手极空间文件收集就足以惊艳到他们,特别方便,对于学校来说,用来收集作业也是极好的。
▼对于使用企业极空间分享的文件、收集任务都能在分享管理中一目了然,并且可以进行控制,企业生产力效率+1。运维管理员是看不到已经被业务人员接管的团队分组文件夹链接的哦,充分保障业务数据不外露,回收站、快照等也做了对应规避。
六、安全防护部署▼NAS的安全防护无非事前主动预防与后期安全事件应对,市面上较为成熟的NAS系统基本上内核都是Linux,不管是绿联UGOS的openwrt、还是群晖的Debian,企业极空间的EZOS系统直接脱离了C端对系统进行了重塑,采用了Ubuntu内核,运维人应该都能更好的上手。
6.1 事前安全防控▼既然底层是Linux系统,就像我们平时用的windows一样,安装杀毒软件自然不在话下,别管用不用的上,这东西就是防范于未然,有就是比没有安心。目前来看按照EZOS的原定计划应该是会直接提供病毒查杀功能,充分保护用户的数据安全,不过目前似乎没看到,坐等后期OTA。群晖、威联通等设备在应用中心里也能找到相应的软件。
▼勒索病毒也曾让NAS用户谈勒色变,针对这个情况极空间EZOS也有做应对,目前仍是敬请期待,目前我的了解是防勒索将会移植C端方案,待测试稳定后就会上线。
▼防火墙也应该开启,极空间EZOS的这个测率很不错,可以通过应用端口进行控制,也可以通过发起端IP进行控制,同时也可以设置该位置究竟是拒绝还是允许,在防火墙规则之下能够极大的避免NAS在广域网内受到攻击的风险。
▼登陆管理是安全防控的重要基础环节之一,用户登陆的时间、用户名、IP地址一目了然。
▼外网禁止访问功能够将员工访问条件进行限制,配合特定群组的特定共享文件夹使用,可以实现仅前台营销人员能够对外展示资料的效果,需要临时使用外网服务的员工,走OA流程进行单独申请控制。
▼在IP封锁中开启自动封锁IP功能,对于多次尝试爆破的IP直接拉黑,在默认不开启的情况下记得自行开启。
6.2 事后安全防控▼事后防控主要是通过封锁IP的方式进行,不过目前智能控制到客户端与Webdav,未来应该会有进一步完善。
七、企业内应用部署7.1 常用应用▼有些企业会禁止用户进行下载操作,有些单位比如酒店、KTV等需要影音视频文件,这种在部署的时候主要看客户的具体需求了。极影视倒是酒店类、民宿类服务必备的应用,极空间EZOS的其他应用似乎多少还是有不少C端的逻辑,据说未来会接入合作的第三方应用,拭目以待吧。
7.2 个性化应用部署▼使用过极空间家用版的小伙伴都知道,ZOS系统并没有开放SSH权限,更不要说root全权限,在面向B端的EZOS终究是放开了SSH访问,毕竟企业的运维人员大多有专业背景,使用命令行对他们来说可能比图形界面还要方便。常见的客户需要部署的项目比如说网络打印机、数据库这些,可以通过ssh快捷部署,对于运维人员来说更有用。个人觉得ToB端确实不是那么好做的,任重而道远。
八、写在最后的总结其实工作室、企业NAS布局还是蛮简单的,没有想象中的那么复杂,只是有一些没有专门IT运维岗位的小型企业、工作室在做NAS部署的时候会有一点点不敢去做。只要按照文中的步骤基本上就能满足B端90%以上的需求。
另外点评一下极空间的第一款企业级NAS P8,硬件做工以及性能上个人认为都很不错,模块化涉及、双电源、内置UPS的加入让设备的大大提高,PCIe扩展槽的加入让设备未来的拓展性大大增加。
性价比上,性能比竞品威联通873A、群晖1621+都要强不少,啥,你说为啥和1621+比,因为按照群晖的命名逻辑,P8也是一款16盘位的设备呀,但是群晖一个拓展柜就要小4K呢。
至于系统,能感觉到极空间在EZOS上的努力,但就目前的系统来说,绝对称不上是完全体,坐等更新吧。