即便近年来新晋NAS品牌飞速崛起,但是也从来没有谁能够撼动群晖在NAS领域第一梯队Top.1的位置。只能说罗马不是一天建成的,一套成熟可靠的NAS系统也不可能一蹴而就,某牌产品经理也直言“我们是在摸着群晖的屁股”过河,群晖DSM系统在业内的地位可见一斑。也正因如此,更稳定、数据更安全、更适合办公使用的群晖始终是企业部署NAS的首选。
接下来我们就来聊一聊如何利用群晖DSM搭建企业数据服务中心,群晖家用的小伙伴也可以顺道看看优化下自己的NAS设置逻辑。
老牌群晖 VS 新晋NAS品牌相比有哪些明显优势
▼就事论事,无意拉踩。
toB思维 VS toC思维
▼新晋NAS品牌多把NAS设备当做一件数码产品,主打一个简单易用;对于高强度的数据安全性、用户账号权限管理这类主要面向于商业、办公类型用户的服务则属于聊胜于无的状态。群晖则不同,DSM系统的设计初衷就是面向于商业、企业服务,对于原始数据的安全性、数据使用的安全性都摆在第一要位。
在群晖DSM内我们能够看到诸如Active Backup for Business(ABB)、Hyper Backup、Snapshot Replication等多种为数据安全量身定做的应用。
稳定使用 VS 高频更新
▼对于注重NAS数据安全性的用户来说,系统并不是更新的越勤快越好,稳定性与数据安全性才是第一要务。早前极空间更新升级过一次存储池,原本用来做存储数据的m.2 SSD必须先将数据备份出来,升级完之后该SSD将只能外部挂载,对于原本就没有部署几个Docker容器的家庭用户来说可能这没什么,但是对于企业来说,这很有可能足以让运维人员加几晚的班,甚至可能影响到整个公司的工作流程运作。
功能演示用设备,群晖DS923+
▼群晖DS923+是一款高性能的四盘位塔式NAS设备,在外观上主打一个商务简约,与群晖DS423+、群晖DS920+等几乎无异。DS923+搭载AMD Ryzen R1600双核4线程处理器,支持DDR4 ECC内存,最大可扩展至32GB,对于多任务处理和数据密集型应用均能游刃有余。
DS923+本身搭载有4个3.5英寸(兼容2.5英寸)盘位,可以通过DX517扩展柜增加至9个硬盘位,DS923+内置两个M.2 2280 NVMe SSD插槽,可以用作高速缓存或者是独立的高速存储池,对于企业来说使用将SSD用作缓存无疑是最优解,如果是家用则可以配专用的SSD做存储。设备接口上DS923+配备有两个1Gb RJ-45端口,并且支持通过E10G22-T1-Mini 10GbE RJ-45配将将NAS升级到万兆。
员工工号、权限管理
▼新兴的NAS系统都喜欢说所有用户的数据账号独立,尊重你的隐私,但是从我作为普通家用用户的角度看过去,一旦更换其他品牌NAS设备,迁移家人同步到NAS上的数据就成了一个相当糟心的事情:指望家人自己搞定完全是痴心妄想;找家人要账号,说好的隐私呢,凡此种种。
普通家用尚且如此,更何况是动辄几十人、上百人的企业。
对于企业NAS应用来说,我们希望运维人员只做系统的运维,不要涉及到业务数据;希望每个部门内部能够协同工作,但是又不被其他部门看到数据;希望人员能够带着自己的数据在企业内平滑流动(调岗);希望涉及到需要多个部门(人员)协同的项目,数据只有指定部门(人员)能看得到。
以上这些,对于群晖DSM来说很简单,但是对于其他NAS系统来说却不见得。
以部门为单位的员工工号权限规划
▼其实NAS的用户权限说白了就是对人的管理,以部门为视角的员工工号选线管理只需要按照下图的逻辑进行规划就好。
▼在群晖的控制面板-用户与群组中我们可以找到相应的功能。
创建运维组,屏蔽运维人员的数据访问权限
▼很多时候在一般企业技术和业务是分开的,我们不希望技术人员能够看到企业内的业务数据或者其他信息,进而保证公司商业秘密的安全, 这样我们首次开始配置群晖NAS的时候最好就新建一个运维组。具体操作菜单:控制面板-用户与群组-用户群组-新增。
▼创建好组名之后会进入到添加成员环节,这时候我们还没有创建其他员工工号,可以先直接点击下一步跳过,在分配共享文件夹访问权限时,可以对所有的共享文件夹都禁止访问,这样该用户组下的运维人员就看不到公司共享数据了。
▼应用权限分配这里个人建议是应用权限最好都给到运维组,这样员工在使用的过程中遇到问题直接找运维人员解决就好。
▼接着我们为运维组新建业务人员,操作路径为控制面板-用户与群组-用户账号-新增。
▼运维人员属于管理员系列账户,这里要同时勾选群晖默认的administrators用户组与我们刚刚创建好运维用户组。
▼按照群晖的权限逻辑,禁止访问的优先级>可读写>只读,故而最终运维用户将完整继承刚刚创建的运维组禁止访问的权限设置。
▼此时的运维人员看不到NAS中的任何数据。运维工号应当是企业内的大权限工号,运维人员除了掌握运维工号之外,应当创建归属于自己部门的工号,个人的数据应当独立于运维工号。当需要在系统内进行参数设置、功能调试时再登陆运维工号。
巧用双重验证机制提高数据安全、运维安全性
▼有细心的小伙伴可能就发现了:欸?那运维人员岂不是可以自己修改用户组的权限,最终访问数据么。这时候我们就可以使用群晖的登陆双重验证机制,通过一个人保管密码,一个人保管二次登陆验证服务的手段来实现在DSM操作时需要上级授权或者是操作人、复核人同时在场,进而监督、控制运维工号安全使用的目的。
▼群晖DSM的双重验证登陆支持批准登录(Synology Secure Sigh In APP),验证码登陆、硬件安全密钥等多种方式,大家在实际应用中视对数据安全的重视成都灵活使用就好。
