西数紫盘做NAS(威联通QTS安全大揭秘)
西数紫盘做NAS(威联通QTS安全大揭秘)并且采用3D主动平衡增强技术和RAFF技术来增强硬盘的振动保护,降低硬盘运行时引起的共震,提高数据安全性。首先一台NAS是24小时运行的,西数红盘Plus针对此应用场景优化了功耗,长期下来更加节能;在高负载读写情况下,一般情况发热量会比较大,高热量下继而影响硬盘使用寿命,而西数红盘Plus则具有低发热特性,带来低噪音,带来更好的寿命和使用体验。首先来介绍一下本篇使用设备,以威联通TS-462C来演示,同时也是我的主力NAS,搭载N4505处理器,集显可以4K流畅实时转码,性能非常不错,做为一款4盘位NAS,也可满足后续硬盘升级需求,可以说在未来几年都是主流配置和性能,2-3K价位内非常有竞争力的一款NAS。有了好硬盘,NAS最核心的硬盘自然也是要细心挑选,如果说RAID、HBS 3、HTTPS、快照之类的是软件层面的安全基础,那硬盘就是『硬件层面』的安全基础的,所以硬盘这个安全基础也要精挑
开篇碎碎念Hi,大家好,本篇直奔主题,来说说使用NAS的时,如何设置一些涉及数据安全方面的选项,让你的NAS系统更加安全,系统坚不可摧,NAS中存储的数据自然也是更加安全。
各种安全设置最终目的也是为了让NAS中的数据更加安全,当然,数据没有绝对安全,我们要做的是尽可能提升安全性,例如,一个有容错的RAID可以让你的数据相对安全,多一个冷备份可以让你的数据更加安全,异地多重备份可以让数据更更更安全,所以数据安全是相对的,没有绝对安全。
年初将NAS设备换成了威联通TS-462C,使用这么久,对于威联通QTS也是比较熟悉了,下面就介绍一下威联通QTS在数据安全方面有哪些设置技巧和安全方案,以及分享我在使用威联通NAS时保障数据安全的常见设置,各种QTS系统安全设置的相互配合,环环相扣,让你的NAS运行更加平稳、更加安全,希望对刚入门威联通QTS有小伙伴有参考作用。
本篇主要大纲如下,从最基础的RAID选择,让存储空间有容错机制;到使用威联通HBS 3应用进行同步备份,到快照设置让数据也有时光机,再到开启HTTPS和部署SSL证书,让远程访问更安全;最后到QTS的安全软件方面的设置,环环相扣,让你的威联通NAS『坚不可摧』。
本期使用的设备首先来介绍一下本篇使用设备,以威联通TS-462C来演示,同时也是我的主力NAS,搭载N4505处理器,集显可以4K流畅实时转码,性能非常不错,做为一款4盘位NAS,也可满足后续硬盘升级需求,可以说在未来几年都是主流配置和性能,2-3K价位内非常有竞争力的一款NAS。
有了好硬盘,NAS最核心的硬盘自然也是要细心挑选,如果说RAID、HBS 3、HTTPS、快照之类的是软件层面的安全基础,那硬盘就是『硬件层面』的安全基础的,所以硬盘这个安全基础也要精挑细选。
本次我使用的是西数红盘Plus做为存储硬盘,西部数据红盘 Plus 全系采用 CMR技术,相比较于SMR技术而言,有更好的读写性能,以及更快的RAID阵列重建能力。
首先一台NAS是24小时运行的,西数红盘Plus针对此应用场景优化了功耗,长期下来更加节能;在高负载读写情况下,一般情况发热量会比较大,高热量下继而影响硬盘使用寿命,而西数红盘Plus则具有低发热特性,带来低噪音,带来更好的寿命和使用体验。
并且采用3D主动平衡增强技术和RAFF技术来增强硬盘的振动保护,降低硬盘运行时引起的共震,提高数据安全性。
西数红盘Plus有独家的NASWare 3.0技术,可以极大提高NAS的存储性能,机器性能 硬盘性能结合,带来更好的使用体验,也可极大程度减少NAS系统中常见的硬盘问题。并且也是威联通官方推荐的兼容硬盘,为24*7全天候环境设计,放在NAS中运行,可靠性更高。
如果您使用的是旗舰机型威联通TS-464C,还需要Nvme硬盘,可以了解一下西数新品:西部数据红盘 SN700 NVMe SSD,它采用 PCIe 3.0×4 通道,支持 NVMe 1.3 协议。
速度方面,顺序读取最高 3400MB/s,顺序写入最高 3100MB/s。产品使用 3D TLC 存储颗粒,具有高寿命的特点,能够满足 NAS 存储 7×24 小时的工况,非常适合使用在NAS,例如设置SSD静态卷、SSD缓存加速等等,威联通QTS对SSD优化和兼容非常不错。
01、数据安全之绕不开的"RAID"俗话说,狡兔三窟,我觉得"RAID"可以做为数据安全的第一个『窟』,即第一道防护,每一台NAS到手后,插入硬盘,必须要先分配存储池(共享文件夹),而分配存储池,则必须面临如何选择一个合适的RAID类型,只要是双盘位以上的威联通NAS机器都支持RAID,并且威联通的RAID支持非常完善。
RAID,在NAS存储中扮演至关重要的位置,首先是初始化时,你要根据自己的资料重要程度或现有硬盘数量选择一个合适的RAID类型,如果你注重安全性,则要选择有容错机制的RAID类型,如RAID 1、RAID 5;
而后是使用过程中,系统的RAID组件是否完善,直接影响了RAID重建、RAID迁移、RAID升级、RAID扩容、修复等功能,前面这些功能直接影响了数据安全性,NAS本就是为存储数据而来,所以RAID组件是否完善至关重要。
首先来说说,如何在初始化系统时选择合适的RAID类型,那首先我们要对各种常见RAID类型有一个基本了解。
什么是RAID:
- 磁盘阵列全名是“ Redundant Arrays of Inexpensive Disks RAID ”,英翻中的意思是:容错式廉价磁盘阵列。
- RAID 可以通过一个技术(软件或硬件),将多个较小的磁盘整合成为一个较大的磁盘设备;而这个较大的磁盘功能可不止是储存而已,他还具有数据保护的功能呢。
- 整个 RAID 由于选择的等级(level)不同,而使得整合后的磁盘具有不同的功能。
以威联通TS-462C来说明,它有4盘位,在创建存储池时,提供的RAID类型有:单独、JBOD、RAID 0、RAID 1、RAID 5、RAID 6、RAID 10,以下挑家用环境下常用的RAID类型来说明一下。
单独:需要1块磁盘,可用容量为总硬盘容量,没有容错硬盘,如果这块硬盘损坏,那么则数据损坏。
JBOD:需要2块或更多块硬盘,可用容量为组合的硬盘总容量,没有容错硬盘,当一个硬盘写满后则向下一块磁盘继续写入,如某块硬盘损坏,则这块硬盘上的数据损坏。
RAID 0:需要2块或更多块硬盘,可用容量为组合的硬盘总容量,没有容错硬盘,优势是可提高读写性能,追求性能场景可使用RAID 0,但注意要做好备份。
RAID 1:需要2块硬盘,可用容量为组合的硬盘总容量的一半,一块硬盘损坏,数据无损,最大优势是有容错机制。
RAID 5:需要3块或更多硬盘,可用容量为组合的磁盘总容量减去 1 个磁盘,读写性能为(磁盘总数-1)倍,可允许一块硬盘损坏。
通过前面图示,相信大家对于各种常见RAID类型也有一定了解了,那么如何选择适合自己的RAID类型呢?
如果存储的资料比较重要,建议考虑具有容错机制的RAID类型。如你现有两块4T硬盘,又想要注重安全性,可以直接选择RAID 1,可用空间4T,牺牲一块硬盘容量来换取资料安全。
如果你有3块4T,并且注重安全性,建议选择RAID 5,可用空间为8T,同样是牺牲一块硬盘空间换安全。
如果只有一块硬盘的情况下,那只能选择单盘,但这样安全性不好,怎么办呢?其实就算是前面所说的RAID 1、RAID 5也不是绝对安全的,如果这台NAS因不可抗力因素直接全损坏,RAID也是无能为力。
俗话说,鸡蛋不要放一个篮子里,你可以考虑将资料同步到第二台设备中,或同步到云端,做到多端备份,一台设备即使损坏,至少还可以在同步的第二台设备或云端中找回资料,后续我们会讲到威联通超好用的同步备份软件HBS 3。
前面说完初始化时如何选择合适的RAID类型,下面该说说使用过程中威联通QTS对RAID阵列升级、迁移、重建、扩容方面的使用体验了,首先直接给出答案:支持完美!
RAID级别迁移、阵列重建、扩容可以说是NAS最基础功能了,首先来说说RAID级别迁移;
如果你初始化时只有两块硬盘,考虑数据安全性的情况下选择了RAID 1类型,使用一段时间后,空间不够了,你又入了一块硬盘,想和现在的第一块硬盘组成RAID 5,那就涉及到RAID级别迁移了。
威联通“RAID 级别在线迁移”可以迁移至不同的 RAID 配置。迁移过程无需关闭 NAS,也不会损失任何数据。
“RAID 级别在线迁移”支持以下 RAID 迁移:
单硬盘至 RAID 1
RAID 1 至 RAID 5
RAID 5 至 RAID 6
迁移很简单,打开『存储与快照总管』,找到要迁移的存储空间,点击『管理』;
找到RAID组详情,点击『管理』,选择『迁移RAID组』即可,如果你提前插入这块新硬盘,就可以继续往下一步了,建议新扩容的硬盘容量和RAID中现有的单块硬盘容量相同即可,如使用两块4T组了RAID 1,想迁移到RAID 5时,第三块硬盘请同样选择4T容量即可。
目前当主力NAS在使用,且没有扩容和迁移需求,以下我从威联通找到了操作图,选中新加入的硬盘,打勾,会提出迁移后总容量,确认即可。
当然,以上的迁移操作是非常简单的,或者可以打开威联通官网搜索相关操作文档,非常详细。
剩下就是自动重建RAID了,有进度条和速度提示,如果空间大会需要一点时间,耐心等候即可,这样就完成了从RAID 1到RAID 5的迁移和重建过程,是不是很简单,并且整个过程不会损坏原有已保存的数据,确保数据安全。
同样,如果RAID 1情况下,某一块磁盘出现了坏道,或者就算没坏,只想单独将某块硬盘换出来,也是很简单的,同样进入『存储与快照总管』中点击『逐一取代磁盘』,按提示操作即可。
不管是硬盘损坏还是RAID迁移、升级,威联通QTS都有一套完善的支持,你只需要跟着系统提示操作或查看相关文档操作即可,基本没有操作难度。
使用威联通QTS 5.0近一年,期间也扩容过、也迁移过RAID级别,感受是很稳定,并且相关操作文档清晰,总之放心用。
02、数据安全之同步与备份:HBS 3保驾护航确保NAS上的数据安全,多备份总是没错的!所以,狡兔三窟的第2窟就是『多处』备份了,多处可以指将数据备份到另一台设备、也可以将数据备份到云端。威联通官方也提倡3-2-1备份计划。
3-2-1备份计划即保存3份副本,在2种存储空间中,并在异地存储1份副本,确保数据安全。
展开来说就是,NAS中的重要资料,备份一份到另一台设备中(可以是NAS、移动硬盘、跨品牌NAS),再备份一份在异地的设备上(可以是异地NAS、网盘),当家中这台NAS因不可抗力因素全损毁,那么可以在第二台备份设备上找到,好巧不巧,这两台设备因为是在同一个地方同时因不可抗力因素损毁了,那你在异地的第三份备份还在,完全不用担心,毕竟3份副本同时损毁的可能性低之又低;
所以,要想实现3-2-1这种稳妥的备份,就不得不提威联通QTS上非常好用的HBS 3应用了。
如果说前面的RAID是保证数据安全的最基础设置,那威联通的HBS 3应用可以说是为数据安全再加一道坚实防线了。
你可以在QTS中的App Center中安装HBS 3(全称HBS 3 Hybrid Backup Sync),主要作用是:数据备份、同步和复原。
主要支持两种存储空间:
一是支持在NAS间进行数据同步、备份和恢复,因为NAS共享基本是SMB协议,所以就算你是跨品牌NAS,也可以借助HBS 3将本机数据同步或备份到另一台NAS(不管是同品牌还是不同品牌)。
二是支持本地NAS和云服务器间的数据同步、备份和恢复;我把所有支持的列表截图出来了,可能国内大家比较常用的是百度网盘了吧,和网盘绑定,而后将数据同步到网盘或是将网盘中数据同步回本地NAS都是极为方便的。
以百度网盘为例,点击后弹出登录界面,登录你的账号,点击创建。
点击创建备份作业;
目标存储空间选择『百度网盘』,即刚创建的空间。
设定作业名称,设定计划,可以选择每天、每周、每月或定期运行这个任务,自动将待定的文件夹同步到百度网盘;同样,也支持将网盘中文件同步下载到本地NAS。
在以前的文章中我有详细分享过HBS 3的使用方法和各种同步备份的设置教程,大家对HBS 3感兴趣的,不妨去翻翻看看。
03、数据安全之"快照"让时光倒流快照是什么,首先来看看官方对快照的定义:
快照可为您的数据提供区块级保护和本地备份解决方案。快照记录了数据在特定时间点的状态。如果意外删除或修改了数据,可以将数据恢复到此状态。
如果玩过服务器的小伙伴应该对快照比较熟悉,快照可以备份某一时刻的系统完整镜像,如果玩崩了系统,通过快照就可以恢复,所以我觉得快照功能是狡兔三窟中的第3个窟了,基本上,把前面所说的RAID阵列、HBS 3多备份,以及快照设置好,数据安全无忧了。
简单来说,快照可以将系统在某一时刻的状态和数据记录下来做为一个还原点,当你不小心删除了某些重要文件,而且还把QTS的回收站清空了,如果你有设置快照,那么就可以在回收站被清空的情况下进行恢复,继而将丢失的文件找回,可以说,快照就是NAS上的时光机。
使用很简单,打开存储与快照总管,选中要要建立快照的存储空间,点击创建快照。
需要注意的是,如果想要使用快照功能,只支持厚卷和精简卷,目前我这台因为遵循了3-2-1备份原则,所以在初始化创建存储空间时选择的是静态卷,就没办法使用快照了。
你甚至可以将快照复制到另一台NAS上,更好提升数据安全性。
创建快照后,可以管理快照,可以对某快照进行说明,方便区分,在需要恢复快照时也可一目了然查找。
并且智能快照空间管理,当NAS的可用空间小于某数值时,会自动回收最早的快照,释放空间,保证基础存储的正常运行;也可以设置快照数量大于最大值时,自动覆盖旧的快照。
所以,如果你想更好提升数据安全,防止误删等操作,不妨开启快照,注意不要创建静态卷就可以了,厚卷和精简卷都是完美支持快照功能的,误操作后,恢复快照,可以说是时光倒流了。
04、访问安全,SSL证书轻松部署使用NAS,远程访问我觉得是必备的,而远程访问又涉及明文传输(HTTP)和加密传输(HTTPS),威联通自带的DDNS也支持证书申请,不过免费的证书在国内目前使用不了,所以我这里以阿里云域名 申请免费SSL证书来演示。
首先来看看,开启https有什么好处呢?
- HTTPS 有助于防止入侵者篡改您的网站和用户浏览器之间的通信。
- HTTPS 可防止入侵者能够被动地侦听您的网站和您的用户之间的通信。
也就是说,借助威联通的SSL支持,我们可以确保远程连接的安全性,并且https是加密形式传输,不像HTTP是明文传输,容易受到中间人攻击获取到关键信息,导致NAS受到不怀好意的攻击,而https则不用担心中间者获取明文信息,大大提高数据和远程访问的安全性,所以非常推荐大家打开,并且QTS 5部署这些SSL证书也是非常简单的,大家请看以下演示,跟着步骤绝对可操作成功。
首先需要一个域名,域名现在很便宜,阿里云万网购买即可,我是挑选了一个top域名,9元首年。如果你在别的服务商已有域名,也可以,在申请证书时根据提示添加一条TXT的解析记录即可。
有了域名之后,在『产品与服务』中找到SSL证书,点击进去。
点击SSL证书-免费证书-选择数量20,按提示操作即可,免费的。
再次返回后台,SSL证书-创建证书-证书申请。
证书绑定域名填写你前面申请的域名,其它选项按下图红框中所选,点击下一步。
如果是新域名,你没有填写DNS,则需要按提示去控制台中填写DNS解析,如果你是其它家的域名,打开控制台,填写框中提示的记录即可。
如果你填写的域名是阿里云域名,并且提交证书申请与域名的所有者为同一个阿里云账号,阿里云将选择自动DNS验证方式,且不支持修改。
按上图框中提示填写对应DNS记录。
返回证书申请界面,点击验证,验证成功后提交审核。
不到30秒提示签发成功,点击下载。
选择『其它』,进行下载,是一个压缩包,解压后有两张证书文件。
进入威联通控制台-安全,点击SSL证书和秘钥,点击取代当前证书,证书选择后缀为pem的文件,私人秘钥选择后缀为key的文件后应用。
下面启用HTTPS,找到系统-常规设置-系统管理-将使用安全连接(HTTPS)打勾,端口我就使用5001;
使用https:// 你的威联通ddns域名:5001访问,你会发现以下提示;
继续前往你就可以发现没有不安全提示,其实这样不算最终完成,我们还需要安装一个域名解析的镜像,借助aliyun-ddns镜像。
首先进入阿里云控制台,进入 AccessKey 管理,创建 AccessKey。然后获取AccessKey ID 和 AccessKey Secret,记录下来。
进入Container Station即Docker中,搜索并安装sanjusss/aliyun-ddns镜像,点击高级设置,网络选择Host。
环境按下图填写即可,点击创建。
点击总览,点击刚安装的ddns镜像,会看到以下有几条成功的提示,说明DDNS解析成功,因为我没有公网V4,所以就指望V6来进行访问了,下面就可以使用你的域名加上前面指定的https端口来进行加密访问了。
登录域名控制台,也可以发现DNS记录被成功自动更新成我们当前的V4和V6,生效一般要10来分钟,所以等待一会就行了。下次不管你的V4或V6地址如何变动,它都会自动同步解析到这个域名,也就是DDNS了,现在你就可以关闭威联通自带的DDNS,使用自己的域名进行加密访问了。
因为前面我们在QTS中已经安装了你的域名的证书,系统也支持SSL,QTS完美支持HTTPS,让远程访问安全更上一层楼,威联通QTS对这方面的支持非常完善。
如下图所示,我使用手机流量,访问地址为:https://你的域名:你指定的https端口,发现没有,网址前面有把锁,也就是表明为https状态下加密访问NAS,OK,大功告成。
通过前面演示和操作,配合QTS的SSL证书设置,成功让威联通的远程访问安全更上一层楼,建议各位一定要打开SSL。
05、抵御恶意病毒,杀毒软件上阵来和Windows类似,QTS也有杀毒或防护软件,毕竟QTS也是基于Linux开发而来,Linux有杀毒软件也不稀奇。打开QTS的App Center中心,点击『安全』分类,发现提供了4款安全应用。
Malware Remover
Malware Remover,可以检测QTS系统是否被植入恶意病毒或软件,这个建议安装上,如果检测到有恶意软件,会自动将恶意软件隔离,提高QTS系统安全性。
要知道,各种恶意病毒或软件可通过远程注入、及至U盘备份时进行感染,而Malware Remover则可以进行防护。
使用很简单,可以设置定期扫描,让它自动定期运行。
或者手动扫描也是没问题的,会有进度条提示。
在Windows电脑上,相信各位McFee也不陌生,QTS同样引入这个著名的防毒引擎,可按需安装使用。
Security Counselor是一个安全评估应用,Security Counselor 可为 NAS 进行安全风险评估,并对可能出现的风险做出建议和提示同时整合防病毒软件与扫描恶意软件的应用程序,让你对各种安全设置一览无余。
并可根据需求设置不同的安全等级,满足不同用户的数据安全需求。
QuFirewall可以说是威联通NAS的专属防火墙了,可设定允许或拒绝特定 IP 地址及区域,避免未经授权存取及暴力破解攻击,以保护数据及服务的安全性。
比如一个IP尝试暴力破解,并且多次输错密码情况下,防火墙则将对此IP进行拉取黑名单,可设置永久或自定义时长的封锁,避免暴力破解,保护数据安全。
以上就是QTS提供的几个和安全相关的应用,在安全防护方面,可以看出威联通也是尽其所能了。
其它推荐打开的安全选项相比于其它NAS系统,QTS主要提供了以上4个安全软件,但QTS对安全的注重性不止体现在以上4个安全软件上,还体现在方方面面,以下的一些设置建议打开,更好提升NAS系统安全。
1,QTS 5后,默认禁用了容易猜测的admin用户名,需要自定义用户名,提高用户登录安全性,所以建议大家就按默认的禁用admin账户,不建议打开。
2,QTS建议使用强密码,并且可开启两步验证登录,也是推荐大家打开。
3,启用系统自动更新,每次自动更新都是提升系统的易用性,也包含各种安全补丁,建议打开。
4,没有特殊需求,建议关闭SSH功能。
说在最后通过本篇介绍威联通安全相关的方面,从存储空间RAID类型提供数据冗余方案,到HBS 3的3-2-1备份原则,到快照提供『时光机』,再到安装SSL证书开启HTTPS访问,最后到QTS提供的安全软件,可以看出QTS在安全性方面是下了功夫的,各种设置和安全软件的搭配使用,确保NAS数据存储的安全,目前我的462C就基本都打开了上面的安全选项,从来不担心数据丢失问题,毕竟里面存储了许多照片和资料,各种安全设置第一时间就拉满了。
可以说,没有一种方案可以一劳永逸解决数据安全问题,建议搭配多种方式使用,多一种方案就多一种安全。
好的,本篇简单谈了下威联通QTS在安全方面的设置和方案,希望对各位有所帮助,喜欢的话不妨点个赞哦,感谢各位,咱们下篇再见。