Offene Kollboration nie über Boardmittel, entweder Microsoft 365,dropbox,etc oder ne VM mit nextcloud(etc)
QTS oder QTS hero ?
- macfms
- Unerledigt
-
-
Ich kaufe mir jetzt 4 neue 10 TB Platten und tausche eine nach der Anderen
Da fängt der Fehler schon an
Prinzipiell hast Du Recht, dass die Daten ja erhalten bleiben und die alten Disks dann als Backupmedium verwendet werden können, aber es kann schonmal vorkommen, dass es das RAID beim Rebuild bzw. Disktausch zerreisst und dann stehst Du ohne Backup da.
-
Naja, es gibt nur eine Lösung:
Entsprechende Datenträger bzw. Speicherplatz besorgen. Bei Backup gibt es keine Kompromisse...
-
dr_mike
Hat das Thema aus dem Forum QTS Einstellungen nach Firmware allgemein verschoben. -
Die Einwahl soll mit ner 2-FA erfolgen.
Das Problem an einer 2FA ist nicht, dass diese geknackt werden könnte, sondern dass es einen Seiteneingang gibt, d. h. eine Sicherheitslücke, durch die man ins System gelangt, ohne sich anmelden zu müssen.
Bei hierfür viel genutzten Anwendungen mit geringer Angriffsfläche (z. B. VPN, ssh) ist die Gefahr einer Sicherheitslücke gering, bei wenig genutzten Anwendungen (z. B. selbstgeschriebene Browseranwendung) hoch.
Wie gesagt, ein NAS niemals (egal ob 2FA) dem Internet ausetzen.
Das ist das immer wieder aufgesagte Forenmantra, aber gerade wenn der Zugriff von außen notwendig ist, um mit dem NAS arbeiten zu können, sollte man das differenzierter sehen.
Es empfiehlt sich erst einmal eine Risikoanalyse.
1. Wovon gehen die Risiken aus?
a) Schadsoftware
b) Hacker
c) bösartiger Mitarbeiter (ist selten, kommt aber vor)
d) Hardwaredefekt, eigene Dummheit
2. Welcher Schaden kann eintreten?
i) Alle Dateien gelöscht oder verschlüsselt
ii) Daten abgeflossen und in fremden Händen, Drohung von Missbrauch oder Veröffentlichung
iii) NAS als Sprungbrett zum Angriff auf andere Ziele im LAN
Wenn b) oder c) und ii) oder iii) ein ernstes Problem sind, sollten weitere Schutzmechanismen überlegt werden (separates NAS in DMZ), halte ich hier aber für oversized.
Wo der Schutz ansetzen sollte:
A) Rechner des Mitarbeiters
Hier würde ich auf der Installation eines Virenscanners bestehen (wenn Windows verwendet). Ein eigenes Dienstnotebook bringt mMn. nicht viel, denn der MA wird auch dies zum
SurfenRecherchieren benutzen. Ein gestelltes Dienstnotebook müsste komplett abgesichert und ferngewartet werden. Das ist was für große Firmen.B) Zugangsschutz
Der Zugriff auf das Netzwerk sollte nur über anerkannt sichere Mechanismen funktionieren. Dies sind vor allem VPN und SSH (bei SSH nur ssh-Keys oder sehr sichere Passwörter verwenden, und ungenutzte Accounts mit Trivial- oder Defaultpasswörtern nicht vergessen). SMB-Netzlaufwerke gehen z. B. auch über ssh-Tunnel (Skript zum Doppelklicken kann leicht erstellt werden). Andere Anwendungen ohne VPN/ssh würde ich nur erwägen, wenn das NAS in einer DMZ steht.
C) Misstrauen gegenüber den eingestellten Dateien
Der MA könnte unwissentlich virenverseuchte Dateien auf das NAS gestellt haben.
D) Backup sicher gegen Erpressungssoftware.
Mit einem Backup-NAS bist du da sehr gut aufgestellt. Für die Sicherheit ist nicht das Haupt-NAS, sondern das Backup-NAS entscheidend. Daher
- Kein Zugriff vom Haupt-NAS auf das Backup-NAS; die Zugangsdaten zum Backup-NAS dürfen auf dem Haupt-NAS nicht abgelegt sein
- Backup-Jobs laufen nur auf dem Backup-NAS. Das Backup holt sich die Daten vom Haupt-NAS (sSynchronisierung reicht). Auf dem Backup-NAS läuft ein weiterer Job, der ein historisiertes Backup erstellt (ist wichtig, sonst wäre es kein Backup; das Ziel darf aber eine interne Platte sein).
Offene Kollboration nie über Boardmittel, entweder Microsoft 365,dropbox,etc oder ne VM mit nextcloud(etc)
Kollaborationen über Bordmittel sehe ich anders, s. o., aber deine Alternativen könnten durchaus leichter zu realisierende Möglichkeiten sein.
Die eigentliche Frage, ZFS oder nicht, ist demgegenüber völlig nebensächlich. Ich denke nicht, dass du in der täglichen Arbeit einen Unterschied merken wirst (es sei denn, ein NAS hat zu wenig Speicher für ZFS).
-
@MA
Ich will nochwas anmerken.
Ich habe das gleiche NAS wie Du. Und ich habe ZFS/QuTS installiert.
Ich würde die bei ZFS genannten Vorteile etwas relativieren. Sowohl die Deduplizierung, als auch die Komprimierung haben bei den Dateien die Du nennst vermutlich keinerlei Effekt.
Office Dateien sind Zip Dateien. Sowohl zip Dateien als auch Filme und die meisten jpg und mp3 Dateien sind nicht komprimierbar. Die Deduplizierung beu ZFS von Qnap wirkt eigentlich nur bei identischen Dateien (so scheint es mir, aber hier begebe ich mich in das Feld der Spekulation), und nicht bezüglich clustern von Blöcken.
Mein TS873A, da brachte das doch immerhin 0.3% Gewinn nach Komprimierung und Deduplizierung.
Also: das kann man sich schenken. Nur plaintext oder tiff Dateien oder vergleichbares ist komprimierbar. Oder wirklich gleiche Dateien sind deduplizierbar.
Meine35TB Daten, die brauchen dann aber etwa 10GB RAM für die im Speicher gehaltene Tabelle der Deduplizierung - der weniger als Cache zur Verfügung steht.
Aber: wie ich getestet habe ist neben dem Ram verbrauch die Strafe für Kompression und Deduplikation gering. Langsamer wird es dadurch nicht.
Aber nicht von der Hand zu weisen sind die anderen Vorteile von ZFS: Prüfsummen der Dateien, Copy on Write (ein Snapshot des Dateisystems benötigt praktisch eine Zeit und keinen Platz für die Erstellung.
Da das NAS im Dauerbetrieb läuft würde ich sehr empfehlen den zusätzlichen RAM als ECC Module zu kaufen. Sonst könnte manchmal doch ein Bit durcheinandergewürfelt werden ohne dass man es merkt.
Mit 64GB und der CPU die dieses System hat, kann man auch prima einen virtuellen Windows PC auf dem NAS einrichten, der dann per RDP dem Heimarbeitplatz zur verfügung steht (Lizenzen für windows, und programme muss man natürlich haben). Das macht das Arbeiten mit Office dateien schneller und auch etwas sicherer, denn man könnte mit einer Firewallregel den Datenverkehr vom Heim-PC zum NAS auf Remote-Desktop auf die IP des virtuellen PCs einschränken.
Für die Verbindung dorthin würde ich ein VPN empfehlen dass nicht auf dem NAS terminiert ist. Aber das ist vielleicht ein bisschen übertrieben. Ein kleines Loch im Router/Firewall für VPN, das Risiko dass da etwas geschieht ist gering.
-
Volle Zustimmung zu nobody411 mit einer kleinen Ausnahme
kann man auch prima einen virtuellen Windows PC auf dem NAS einrichten, der dann per RDP dem Heimarbeitplatz zur verfügung steht
Office-Programme würde ich weder mir noch jemandem anderen über RDP zumuten mögen. RDP ist für gelegentliche Administration nicht schlecht, aber Word & Co. machen damit dauerhaft keinen Spaß. (Zu bedenken, wir haben hier keine schnelle LAN-Anbindung.)
-
Ich hab mehere Kunden die von CAD bis MS Office alles via RDP machen..läuft wie Butter.
Und man brauch sich um Schadprogramme auf dem Heimrechner keine Grossen gedanken machen
-
Ich muss auch sagen, Ich kenne tatsächlich niemand der sagen würde dass Office (microsoft office) schlecht über RDP läuft.
Ausnahme: die DAteien sind überlastet mit pixelbildern. DAs ist nicht so prickelnd mit rdp, dennoch, heutzutage mit einem upstream von 50M bit/s ist auch das aber erträglich.
-
Ich hab mehere Kunden die von CAD bis MS Office alles via RDP machen..läuft wie Butter.
Dito. Setzen wir in der Firma auch so ein, nur dass hier nicht auf ein virtuelles Windows auf einem NAS mit einem Celerönchen zugegriffen wird.
-
Habe 4 x 6TB und 4 x 10 TB Platten drin.
Das passt nicht in ein 4 bay NAS
Ich würde wenn dann Raid 5 nehmen oder wenn es sein unbedingt soll RAID 6, aber keinesfalls 50.
Wie oben schon geschrieben würde ich allerdings gar kein RAID fürs Backup nehmen, schade um die Kapa, muss aber jeder selbst wissen und ein RAID 5+ macht es natürlich einfacher zu handhaben als 4 Einzeldisks.
Muss ich bei der Backup NAS etwas bei den Einstellungen/Installation beachten, damit sie als Backup für die Snapshots funktioniert?
Es darf kein statisches Volume eingerichtet sein, es muss ein Pool sein. Volumes werden keine benötigt, außer ein kleines als Systemvolume.
oder setze ich damit meine NAS nur einer unnötigen Gefahr aus?
Alles was erlaubt wird, ist grundsätzlich eine Gefahr. Ob er allein ist oder nicht, er kann sich Malware oder sonstwas einfangen...
Allerdings ist das Risiko überschaubar, wenn sein Backup entsprechend eingerichtet wird (zB NAS holt sich die Daten und er hat selbst gar keinen Zugriff oder die Logindaten für dieses Backup werden nur im entsprechenden Backuptool wie Veeam hinterlegt). Da er den Platz, Strom und Bandbreite zur Verfügung stellt, kann man das durchaus als Gegenleistung machen... Eigenes Volume dafür ist kein Problem.
-
1. RAID 5 oder 50 auf der Arbeits-NAS? Habe 4 x 6TB und 4 x 10 TB Platten drin.
Raid 50 geht nicht, es sei denn, du machst ein Raid aus allen Platten und verzichtest auf 4x4TB = 16TB. Zweimal Raid 10 wäre sinnvoller möglich.
Ich habe hier vier SSDs in einem Raid 10, zum einen, weil ich maximale Geschwindigkeit möchte (NAS ist per 10GBit angeschlossen), zum anderen, weil bei Raid 5 ein Trim nicht möglich ist. Ob ich nicht doch besser ein Raid 5, was immerhin eine um 50% höhere Kapazität hätte, hätte nehmen sollen, kann ich mangels Ausprobieren nicht sagen. Für herkömmliche Festplatten würde ich aber in jedem Falle Raid 5 nehmen, erst recht bei einem Backup-NAS, wo Geschwindigkeit keine Rolle spielt.
Kann ich bei der Backup NAS eine Partition o.ä. einrichten, die mein Vater als sein Backup Volume nutzt oder setze ich damit meine NAS nur einer unnötigen Gefahr aus?
Kein Problem, dadurch entstehen keine zusätzlichen Gefahren, auch dann nicht, wenn dein Vater dort virenverseuchte Dateien ablegt, solange du die Dateien nicht auf deinem Rechner öffnest. Du machst eine eigene Partition für deinen Vater, oder eine Freigabe mit Kontingent (ohne Kontingent besteht die Gefahr, dass sein Backup so stark anwächst und dir deinen Platz klaut) und legst für ihn einen NAS-Benutzer ohne besondere Rechte außer auf diese Freigabe an. Du kannst sein Backup auch mit deinem NAS synchronisieren, so dass dein Vater ebenfalls ein Außer-Haus-Backup hat.
Es besteht die theoretische Möglichkeit, dass dein Vater sich auf seinen PC eine Schadsoftware einfängt, welche nach QNAP-NAS im lokalen Netzwerk sucht und diese angreift. Bisher hatten wir einen solchen Schädling noch nicht, aber denkbar wäre es, daher eine theoretische Möglichkeit. Der Schädling müsste aber eine Sicherheitslücke im NAS ausnutzen, und daher wäre es weitgehend unerheblich, ob dein Vater eine Freigabe hat, sondern es reicht aus, dass das NAS im lokalen Netz hängt. Der Schaden wäre aber begrenzt, denn es ist nur einer von zwei Standorten, und solange du dir selbst nicht am selben Tage denselben Schädling einfingest, wären alle Daten noch vorhanden.
-
einen Speicherpool mit 4x10 TB im RAID 5 für die privaten Daten und einen Speicherpool mit 4x6 TB im RAID 5 für die Geschäftsdaten
Für eine saubere Trennung von Privat- und Geschäftsdaten reichen unterschiedliche Benutzer und Freigaben. Eine Separierung durch verschiedene Pools ist nicht nötig. Natürlich ist ein Raid über alle acht Platten auf Grund der unterschiedlichen Plattengrößen nicht sinnvoll, aber es ist kein Problem, private und geschäftliche Daten in getrennten Freigaben flexibler über die Pools zu verteilen.
Gleiches gilt auch für die Daten von deinem Vater, da braucht es auch kein eigenes Volumen. Platzbegrenzungen lassen sich flexibler durch Quota (=Kontingente) realisieren.
(Ich habe keine getrennten Pools, lediglich für Backups habe ich ein anderes Volume, weil ich in jedem Falle vermeiden möchte, dass die automatischen Backups den Platz auch für die Datenordner komplett aufbrauchen.)
wo kann ich noch an der Speedschraube drehen?
Schnelleres LAN. Alles andere ist derzeit nicht sinnvoll. Eine Platte alleine kann die 2x1 GbE komplett ausschöpfen, und im Raid erst recht. Das ist der Flaschenhals. Solange der nicht beseitigt ist, sind alle anderen Optimierungen sinnlos.
SSDs als Cache erhöhen die Komplexität und können deshalb auch kontraproduktiv sein, insbesondere was die Stabilität angeht. Die SSDs lassen sich aber als eigenes Volume (eventuell im Raid 1) anlegen, und die geschwindigkeitskritischen Daten werden per Hand ausgesucht. Dies kann sich lohnen bei speziellen Anforderungen (z. B. virtuelle Maschinen, Datenbanken) oder bei 10GbE und mehr.
-
Also die Platten extern formatieren und dann erst in NAS einbauen, sollte ja kein Problem sein.
