Embed Size (px)
Citation preview
朝陽科技大學
資訊管理系
碩士論文
以低成本的 NAS建置小型企業之私有雲端儲存伺服器之
實例
A Practical Case of Building Low-cost NAS Cloud Storage
Server for SMEs
指導教授:羅有隆 博士
研究生:洪 斌 峰
中華民國 106年 10月
朝陽科技大學資訊管理系
Department of Information Management
Chaoyang University of Technology
碩士論文
Thesis for Degree of Master
以低成本的 NAS建置小型企業之私有雲端儲存伺服器之實例
A Practical Case of Building Low-cost NAS Cloud Storage Server for
SMEs
指導教授:羅有隆(Yu-Lung Lo)
研究生:洪斌峰 (Bin-Fong Hong)
中華民國 106年 10月
October , 2017
I
摘要
隨著時代演進,許多企業資料數位化的程度越來越高,大量資料都儲存
在電腦中。在台灣,中小型企業占了所有企業很大的比例,而大部分的中
小型企業無法負擔大型伺服器的成本,也不想花錢投資這些設備。於是很
多中小型企業就利用個人套裝電腦來當作伺服器使用,並且也沒注意資料
備份的重要性。
在企業的電腦與伺服器硬碟中,都會儲存許多公司的重要數位資料,而
有許多中小型企業,並沒有對這些重要的數位資料檔案進行安全且完整的
備份。所以一但硬碟發生遺失或是損壞的狀況,將對企業產生許多的損失
與阻礙,而且要花許多時間進行遺失損壞的資料復原。甚至有可能造成進
度延遲,進而產生商譽上的損害。於是要如何讓這些中小型企業能夠以較
低的成本,來達到一定的資料保護、儲存與備份水準,是一個重要的議題。
本研究報告提出了一家企業的實務案例,讓我們以低成本的網路附加儲
存(Network Attached Storage)與磁碟陣列(Redundant Array of Independent
Disks),再加上高可用性技術(High-Availability)與不斷電系統(Uninterruptible
Power Supply),協助企業建置了一套私有雲端儲存伺服器,提升企業資料
儲存的安全性、高可用性與共享的便利性。
關鍵字:私有雲端儲存伺服器、網路附加儲存、磁碟陣列、高可用性
II
Abstract
The degree of digitized of enterprise information becomes more and more
highly, and most of this digitized data stored in the computer. High percentages
of enterprises are small and medium in Taiwan. Therefore, most of them cannot
afford the cost of large-scale servers, and do not intention to invest in such costs.
Many small and medium enterprises (SMEs) using personal computers act as
servers, and disregard the importance of data backup. The important enterprise
data is often stored in the computer hard drive. However, there is no complete
safety for data backup established for most of SMEs. It will encounter business
obstacles when lost data or damaged hard drive is happened. They have to spend
a lot of time for data recovery. Furthermore, it may cause the schedule delays
and hurt the business goodwill on. Accordingly, how to achieve a certain level of
data backup and improve safety in the lower costs for SMEs is an important
issue. In this paper, we present a practical case in which we used low cost
network attached storage (NAS) and Redundant Array of Independent Disks
(RAID) to help the enterprise to build a private cloud storage server. It enhances
the enterprise data more security, High-Availability (HA), and the convenient
sharing.
Keywords: Private cloud storage server, Network attached storage, Redundant
array of independent disks, High-Availability.
III
致謝
在讀研究所的兩年時光中,使我的成長進步了許多,首先我要感謝我的
指導教授羅有隆老師,很支持我所選擇的、我所做的研究,並且適度的給
我建議,而且每個建議都對我很有幫助。也要感謝建佑工程技術顧問有限
公司的協助,讓我能夠將此案例結合進來,記錄下整個詳細過程,才會有
今天的這篇論文。
時間過得很快,研究室不只是寫論文做研究的地方而已,而是一個充滿
著大家的歡笑、快樂的環境,大家一起互相交流,交換新資訊,在這種風
氣之下,自然而然就會有一股向前進的動力,讓我們會去主動學習,創造
出新的可能。
最後也要感謝朝陽科技大學提供一個好的環境讓我度過了研究生活,還
有家人一路以來的支持,讓我可以順利完成我的研究生涯。
洪斌峰 謹致
中華民國 106年 10月
IV
目錄
摘要 .................................................................................................................. II
Abstract ............................................................................................................ II
目錄 ................................................................................................................. IV
圖目錄 .............................................................................................................. V
第一章 前言 ..................................................................................................... 1
第二章 相關技術探討 ...................................................................................... 3
2.1 NAS ....................................................................................................... 3
2.2 RAID .................................................................................................... 6
2.3 HA....................................................................................................... 10
2.4 Snapshot ............................................................................................. 10
2.5 UPS ..................................................................................................... 11
第三章 系統架設 ............................................................................................ 13
3.1需求分析 ............................................................................................. 13
3.2建置私有雲端硬碟系統 ..................................................................... 16
3.3系統改善 ............................................................................................. 20
第四章 案例成果 ............................................................................................ 24
4.1案例成效 ............................................................................................. 24
4.2實際事件 ............................................................................................. 26
第五章 結論 ................................................................................................... 32
參考文獻 ......................................................................................................... 33
V
圖目錄
圖 1. Synology的 NAS [14] ............................................................................. 5
圖 2. ASUStor的 NAS [12] .............................................................................. 5
圖 3. Thecus的 NAS [15] ................................................................................. 6
圖 4. QNAP的 NAS [13] ................................................................................. 6
圖 5. RAID 0的架構[16] .................................................................................. 7
圖 6. RAID 1的架構[16] .................................................................................. 8
圖 7. RAID 5的架構[16] .................................................................................. 8
圖 8. RAID 10的架構[16] ................................................................................ 9
圖 9. 本實務案例之流程圖 ........................................................................... 13
圖 10. 企業的原始網路架構 ......................................................................... 15
圖 11. NAS取代原伺服器後的網路架構 ...................................................... 18
圖 12.NAS私有雲端儲存伺服器 .................................................................. 19
圖 13. NAS伺服器管理介面 ......................................................................... 19
圖 14. 帳號管理介面 ..................................................................................... 20
圖 15. 防火牆規則 ......................................................................................... 21
圖 16. 異地備份 ............................................................................................. 22
圖 17. 快照保護 ............................................................................................. 23
圖 18. 磁碟群組錯誤紀錄 ............................................................................. 26
VI
圖 19. 儲存空間降級警告 ............................................................................. 26
圖 20. 硬碟錯誤紀錄 ..................................................................................... 27
圖 21. 堪用的磁碟陣列 ................................................................................. 28
圖 22. 備援伺服器失效紀錄 ......................................................................... 29
圖 23. 高可用性同步中 ................................................................................. 30
VII
表目錄
表 1. 企業導入 NAS後的成效比較[7] ......................................................... 24
1
第一章 前言
目前有許多中小型企業的檔案都儲存在企業的個人電腦伺服器中,如果
公司需要在辦公室中進行資料傳輸與共享,或是架設印表機伺服器,最簡
單的方法就是利用一台個人電腦當作伺服器,扮演資料儲存、共享的角色,
同時擔任印表機伺服器等服務的提供者。但是利用這種方式就會產生出許
多潛在的問題,例如個人電腦伺服器沒有做即時性的資料備份,當硬碟產
生故障時,企業的資料就會很難復原,嚴重的話甚至要花大筆費用請專業
的資料救援公司來補救資料。如果要進行企業的資料備份,許多企業主並
不了解資料備份這方面的方法與資訊,所以在資料備份的方式與時程上是
不恰當的,而且有些資料會遺漏沒備份到,讓資料備份的效益大打折扣。
許多的數位資料是企業的珍貴資產,若是發生意外遺失資料,對整個企業
將會有很大的負面影響。
另外企業中的伺服器不單純只用於儲存企業資料,同時還擔任員工之間
的資料交換中心、網頁伺服器、FTP(File Transfer Protocol)等。若要改變企
業以個人電腦當作伺服器的現況,就需要有一台能夠取代這些用途的設
備。隨著資訊設備的進步、製程與效率的提升,現在伺服器的大小與成本
也隨之下降,同時導入門檻也降低了,而 NAS(Network Attached Storage) [1]
[3][4][6],就是一台小型多功能的雲端儲存伺服器,不僅可以取代個人電腦
伺服器,而且資料讀寫速度快、可以快速且安全的進行資料加密、可控制
2
的權限管理,讓檔案的交換、共享可以更便利。同時 NAS也可以讓各種行
動裝置、各種平台進行存取,非常適合中小型企業當作私有雲端儲存伺服
器來使用。
在本篇研究報告中,我們將會提出一套以低成本的 NAS 伺服器,協助
一家小型企業建置私有雲端儲存伺服器的成功案例。此成功案例可以提供
給各種中小企業們參考,要建置出一個有水準的安全性、可用性,以及方
便共享的資料儲存環境,並不需要付出很高的設備成本。
本篇研究報告分為五個主要章節,除本章前言外,第二章將對與本實務
案例相關之技術做探討,於第三章中說明我們如何為小型企業架設私有雲
端儲存伺服器,第四章是我們實務案例的成果,最後一章則是我們的結論。
3
第二章 相關技術探討
NAS (Network Attached Storage),是一種資料的儲存技術,它可以連接
在各種電腦網路上面,有自行處理資料的能力,可以對許多的使用者提供
集中式資料存取服務。一台符合企業使用的 NAS 至少須要具備磁碟陣列
(Redundant Array of Independent Disks, RAID) [8] 與 高 可 用 性
(High-Availability, HA)的功能,才能夠降低硬碟故障造成的風險與無預警故
障的備援問題。再加上不斷電系統(Uninterruptible Power Supply, UPS)的支
援,於電網故障時才能夠安全地保護企業資料。
2.1 NAS
有別於一般伺服器,NAS (Network Attached Storage)系統裡的作業系統
與軟體,最原先是以資料儲存與相關的管理功能為主,但是目前的 NAS功
能也越來越多樣化,可以架設網頁伺服器(Web server)、監控伺服器、印表
機伺服器、企業資源規劃系統 (Enterprise Resource Planning, ERP)、醫學影
像存檔與通信系統 (Picture archiving and communication system, PACS)、甚
至是運行虛擬機來達到跨平台執行軟體的功能等,它的功能都是廠商預先
設計好的,可以依照實際的使用情況去進行 NAS功能的安裝與移除,就像
是一台功能簡化的 Server。NAS 快速、安全、省空間,讓資料的共用共享
可以更便利。同時也可以在行動裝置上、不同平台上做存取,非常適合中
小型企業當作私有雲端硬碟來使用[3][4]。NAS有以下特色:
4
• 構造簡單,不易故障
• 省電
• 散熱良好
• 共享檔案方便,有完整的帳號權限管理
• 資料儲存安全,支援 RAID備份與 HA備援
• 介面容易操作
• 可以多方同時存取
• 大部分都不需要機櫃,節省空間
• 架設容易、快速
台灣目前常見的NAS廠商有群暉科技(Synology)、華芸科技(ASUStor)、
宏普科技(Thecus)與威聯通科技(QNAP),如圖 1為 Synology的 NAS系統。
目前這四家廠商較為明顯的特色:
Synology:介面友善容易使用,不同背景的企業在使用上較不會產生障
礙,可自行管理,在企業級機種中,擁有企業所需的大部分
功能,適合中小型企業使用。
ASUStor:為華碩(ASUS)投資的子公司,以家庭取向為主,主打影音多
媒體,如圖 2,可以將影像透過 HDMI直接輸出至電視,適
合作為家庭劇院的主機。
Thecus:偏向國外市場的廠商,如圖 3,從小型企業到大型企業都有適
合的設備,甚至內建 UPS,專業取向,適合由公司網管人員管
5
理維護。
QNAP:軟硬體功能完整,可以架設完整的虛擬化系統,運行多種作業
系統,介面相對於 Synology會更為複雜,適合由公司網管人員
管理維護,如圖 4。
圖 1. Synology的 NAS [14]
圖 2. ASUStor的 NAS [12]
6
圖 3. Thecus的 NAS [15]
圖 4. QNAP的 NAS [13]
2.2 RAID
RAID (Redundant Array of Independent Disks)磁碟陣列,是利用 2顆以上
的硬碟組成一個儲存群組,如此可以使安全性或是效能大於一顆硬碟。在
基本的無 RAID 儲存環境中,資料只儲存在一顆硬碟中,如果硬碟發生任
何異常狀況,例如壞軌或是損毀,資料就會很難復原。
7
常見的磁碟陣列可以分為 RAID0、RAID1、RAID5、RAID10[10],分別
說明如下:
RAID0:需要 2顆以上的硬碟,將一份資料平均分散且同時寫入至每顆
硬碟,以達到加速的效果,並且可以使用全部的硬碟容量,如
圖 5 所示。但是 RAID0 並沒有容錯的功能,無法增加資料儲
存的安全性,如果任何一顆硬碟故障,所有資料將損壞而無法
復原。
圖 5. RAID 0的架構[16]
RAID1:以 2顆硬碟為一組,在寫入資料時將資料存至每一顆硬碟,所
以速度不會加快,但是可以達到雙重備份的效果,所以每顆硬
碟中的資料是都一樣的,如圖 6所示。如果其中一顆硬碟故障
時,另一顆硬碟可以繼續運作,之後將故障的硬碟換新,系統
就會自動從正常的硬碟還原資料。但是,硬碟可用的儲存容量
是以容量最小的硬碟為主,最大容量只有總容量的一半。並且
8
有潛在的安全性問題,資料還原時正常硬碟的負載會很大,如
果在資料還原的過程中來源硬碟也故障,那全部的資料就會損
毀。
圖 6. RAID 1的架構[16]
RAID5:結合了 RAID0 與 RAID1 的優點。可用容量較 RAID1 大,空
間使用率較高。這種磁碟陣列方法至少需要使用 3顆硬碟,它
將奇偶校驗的資訊儲存至每顆硬碟中,如圖 7所示。當有硬碟
故障時,可以利用奇偶校驗與現有的資料來進行恢復。可用空
間為(硬碟數-1)x最小硬碟容量。
圖 7. RAID 5的架構[16]
9
RAID10:最少需要4顆硬碟,先組成 2組RAID1,然後再將這 2組RAID1
組合成 RAID0,如圖 8所示。可以同時擁有 RAID1的安全性
與 RAID0 的速度,但是容量利用率低,而且硬碟數量多成本
較高。
圖 8. RAID 10的架構[16]
磁碟陣列的實現方式有兩種,分為軟體磁碟陣列(Software RAID)與
硬體磁碟陣列(Hardware RAID),以下將介紹這兩種方式的差異:
• 軟體磁碟陣列
使用軟體的方式來處理陣列資料,磁碟陣列儲存的過程中需要
經過計算,而此計算的部分是交由系統的 CPU來進行計算,由於是
跟作業系統共用 CPU速度,所以軟體磁碟陣列的方式在執行資料讀
寫時會影響到系統運作的速度,而且對 CPU的使用效率較差。優點
是成本較低,並且不需要特殊的硬體設備即可建立出磁碟陣列。
10
• 硬體磁碟陣列
需要有專門處理磁碟陣列資料的硬體,例如磁碟陣列卡,這些
硬體有自己的 CPU來處理陣列資料,所以不會耗用到作業系統本身
的 CPU速度,不會占用到伺服器的資源,因價格較貴,需要額外的
硬體成本支出,所以通常使用於高階的伺服器主機。
在處理器的不斷發展,速度、功耗與價格已經越來越優異,目前市面上
NAS 中,幾乎都是使用軟體磁碟陣列的方式來進行處理,處理器可以應付
磁碟陣列所需的資料計算,此方式可以在低成本的環境中,架構出有安全
性的磁碟陣列。
2.3 HA
HA (High-Availability)高可用性,是指當某一台 NAS主機發生故障時,
能夠將伺服器重要服務自動轉移到正常的主機上,來維持伺服器服務不中
斷的方式。在 NAS儲存伺服器上,RAID已可達到資料的可用性,但因 NAS
的價格較低,如果平時有 2台的 NAS伺服器個體在運作,當其中一台 NAS
伺服器故障無法繼續提供服務時,則副 NAS伺服器也可在短時間內自動接
手主 NAS伺服器的工作[11]。
2.4 Snapshot
Snapshot[5]快照,它可以紀錄檔案或資料夾在某個時間點的狀態,當檔
案出現問題時,可以快速回到某個時間點的功能。在 Synology NAS的 Btrfs
11
檔案系統下,拍攝快照的速度很快,而且額外占用的空間少,又可以頻繁
的備份,所以可以保護檔案不被錯誤的修改,增加檔案儲存的安全性,當
檔案被錯誤修改時,能夠將檔案回復到某個時間點,並且能夠保留目前的
檔案狀態來預防錯誤的還原覆蓋。
2.5 UPS
UPS (Uninterruptible Power Supply) [2]不斷電系統,能夠穩定輸出的電壓
與在電力中斷時提供緊急的電力,讓設備有時間儲存資料並進行正常關
機,減少軟硬體損壞的機率。並且在電網修復恢復電力之後,UPS 將會自
動開機,同時 NAS偵測到電源恢復也會自動開機,讓整個伺服器運作達到
自動化的效果。
不斷電系統所能提供的功率以「VA」表示,此表示方法為虛功,必須再
乘上功率因素,才是實際上所能輸出的功率 (W),並且分為離線式
(Off-Line)、在線互動式(Line-Interactive)與在線式(On-Line)[9]三個種類:
離線式:是三種種類中價格最低、結構最簡單的種類。平常使用市電供
應電力,電池處於待機備援狀態,當遇到停電時 UPS 才會在
幾毫秒的時間內由市電切換到電池供電。
在線互動式:電力供應方式與離線式一樣,但是多了穩壓器(Automatic
Voltage Regulators, AVR)來穩定輸出的電力,當電壓太高或太
低時能將電壓控制在一定範圍內。結構複雜度與價格為三種形
式中的的中間。
12
在線式:市電進入 UPS 時先被轉為直流電,一邊幫電池充電同時再一
邊再轉回交流電輸出給設備使用。因為過程中有重新製造電
力,所以是最穩定的類型。為三種型式中最為複雜,價格也是
最高的種類。
整合 NAS、RAID、HA、UPS,可以讓我們以低廉的成本,為小型企
業建置安全可靠的雲端儲存伺服器。
13
第三章 系統架設
為了要改善小型企業在存放檔案時資料安全性的問題,必須先找出要從
哪個部分著手。在與我們服務的特定對象企業的訪談過程中,企業表明了
對電腦伺服器的資料安全沒概念,並沒有想到硬體故障後所帶來的一連串
風險問題。考量該小型企業的需要,我們協助建置了一套私有雲端儲存伺
服器,以提高企業的安全性與共享。本實務案例的流程圖如圖 9所示。
圖 9. 本實務案例之流程圖
3.1需求分析
經過了訪談之後就開始對該小型企業的辦公室運作方式進行觀察分
析,發現了以下現有的特徵作為改善時的必要需求:
• 工程技術顧問公司,員工約 10人。
• 連線的裝置為 20台以下。
14
• 企業檔案容量小於 1TB但很重要。
• 有機密檔案,例如:智慧財產。
• 需要將 USB印表機利用區域網路分享到整個辦公室。
於是我們開始尋找企業中資料安全性不足的地方,整個企業原資訊架構
如圖 10。
首先,NAS廠牌我們選擇「Synology」這家的產品,因為此公司沒有專
門負責維護電腦設備的資訊人員,所以在 NAS架設完成後的維護與使用要
盡量地簡單化,而 Synology相對於其他家廠商,它的操作介面比較簡單易
懂,而且功能上可以符合這家企業的全部需求,較不會遇上與用上的困難。
接下來從原本的個人伺服器主機來觀察,發現硬碟只有一顆,同時負責
作業系統與資料儲存。若是剛好硬碟發生故障,不僅會使伺服器無法開機,
造成企業員工無法讀寫伺服器資料、印表機也無法使用,而讓企業運作停
擺。遇到硬碟物理故障、物理壞軌的話,企業所有的資料都有可能無法救
回。所以第一項要改進的目標就是要做好檔案備份的功能,所以我們選擇
了「磁碟陣列」中的 RAID1這項技術來達成,因為它只需要兩顆硬碟即可
達到保護資料的安全性,成本較低,適合本小型企業使用。
15
圖 10. 企業的原始網路架構
有了 RAID1 在保護企業的資料,可避免硬碟故障而遺失。但是如果遇
到機器故障,就算資料還存在著,企業還是無法存取資料而導致運作停擺。
考量資料重要性與即時性,企業願意採用兩套 NAS,來大幅提高可用性以
解決這項問題。如此,當其中一台伺服器故障時可以盡快讓副伺服器接手
上線,可將停擺的時間縮到最短,也爭取到了維修的時間。
接下來就考慮到了電網故障的狀況。如果企業在伺服器寫入檔案時意外
停電,很可能造成檔案損壞。要應付這種狀況,需要使用不斷電系統來做
備援,當電力出問題不穩定或是停電時,不斷電系統將接手電力供應。如
16
果電力斷電的時間太長,在不斷電系統電力不足時,NAS 將會自動關機,
以防止突然斷電造成資料意外遺失。
總結了要改善企業的資料安全性而統計了以上的需求,必須再增加以下
項目:
• 磁碟陣列機制
• 高可用性備援
• 不斷電系統備援
3.2建置私有雲端硬碟系統
根據以上的分析開始選擇需要的設備:
• NAS 2台 (規格:4核心 CPU、1GB RAM、2個磁碟槽,支援 RAID1)
• UPS 3台 (規格:2台在線互動式、500VA;1台在線互動式、1000VA)
• 硬碟 4台 (規格:2TB、NAS專用)
• 網路交換器 1台 (規格:8Port、1000Mbps)
將以上設備準備完成後,就可以開始進行架設、系統開機、系統初始化、
設定、上線。
首先遭遇了網路線路不足,若要從原本的網路交換器再拉線工程浩大,
所以直接加裝一台網路交換器增加網路孔數量,整組 NAS需要額外的 2個
網路孔,2 台 NAS 的 LAN1 都接到交換器的任一網路孔。並且 2 台 NAS
的 LAN2 直接利用網路線互相連接,以符合高可用性的基本需求,讓高可
用性可以運作。
17
接下來連接不斷電系統,每台 NAS各連接 1台 500VA的不斷電系統,
並且將企業主的電腦(BOSS-PC)也連接上 1台 1000VA的不斷電系統。企業
主的電腦通常處理公司最重要的資料,所以 BOSS-PC也不能容許電力問題
而突然斷電造成資料沒有存檔。
然後進行 NAS 開機、NAS 系統更新、設定儲存方式。在這裡選擇了
RAID1,讓資料以鏡像的方式分別寫入 2 顆硬碟來提升安全性。設定使用
者帳號的權限,總共有 3種帳號,分別為:
• boss:企業主專用的帳號。能夠看到所有員工的檔案資料,並且有自己私
人的隱藏資料夾來儲存機密資料,其他任何帳號無法看見此隱藏資料
夾。
• user:員工帳號。每一個員工都使用自己帳號來存取 NAS上的公開資料。
• admin:管理員。負責維護 NAS 的設定與各項功能的帳號,此帳號在系
統設定完成後會停用,並且以相近權限的帳號代替,藉由關閉預設帳號
來增加系統的安全性。
之後設定高可用性的功能與 USB印表機分享,如此整組的 NAS系統就
準備完成了。
系統準備完成後就可以開始轉移企業資料。把原本的個人電腦伺服器
的各項服務轉移到新的 NAS上,再將企業內部的每台電腦設定好網路磁碟
機的帳號、密碼、自動與 NAS連線、新增網路印表機。並測試每項功能是
否如預期運作,即可取代原本的伺服器開始上線。
18
圖 11. NAS取代原伺服器後的網路架構
最後就是定期維護,在固定時間利用遠端登入,檢查系統溫度、磁碟陣
列狀態、硬碟健康度、電源狀態、不斷電系統是否都正常。有系統更新時
進行更新,並且隨公司運作狀況進行系統微調,即完成本實務案例。新建
置完成的私有雲端儲存系統架構如圖 11所示,NAS儲存伺服器如圖 12所
示,NAS伺服器管理介面如圖 13所示,帳號管理介面如圖 14所示。
19
圖 12.NAS私有雲端儲存伺服器
圖 13. NAS伺服器管理介面
20
圖 14. 帳號管理介面
3.3系統改善
為了達到更安全的儲存環境,要對系統做進一步的安全性調教,降低被
駭客入侵、不可抗拒之因素所造成的檔案損毀風險,以下是增加安全性的
規則:
帳號登入相關:
• 等候逾時,登入的帳號在瀏覽器介面上 15分鐘內沒任何動作的話,
會自動被伺服器登出。
• 伺服器重新啟動時,會自動登出所有已登入的連線。
• IP位址自動封鎖,5分鐘內帳號登入失敗超過 5次,會將此 IP加入
黑名單,需要手動至管理介面將此 IP 解除封鎖才能再次利用此 IP
進行登入,可以降低帳號密碼遭到暴力破解的風險。
• 帳號自動封鎖,在 3分鐘內用同一個帳號登入失敗超過 5次,此帳
21
號將會暫時封鎖,不管從任何地方都無法登入,已登入成功過的區
域不會受影響,60分鐘後此帳號才會取消封鎖,可以降低帳號密碼
遭到暴力破解的風險。
防火牆:
在此使用白名單的方式,設定外部網路的規則,只允許特定規則通
過,例如系統維護用的 Port,其他未使用到的服務及任何非允許清單內
的 Port一律封鎖,來防止外來的入侵。防火牆管理介面如圖 15所示。
圖 15. 防火牆規則
異地備份:
因為此企業檔案容量不會太龐大,所以我們使用 Google雲端硬碟當
作異地備份的位置,將本機儲存區備分至 Google 雲端硬碟,且每日執
行一次備份,會保留數個檔案版本可供還原。
22
由於將資料傳上公有雲就像是將資料放在別人家保管一樣,所以反
而增加了資料外洩的安全性風險,為了降低此風險,會事先生成一組金
鑰(Key),在任何資料要傳上 Google雲端硬碟之前,資料會先在本機利
用此金鑰進行 AES-256 加密,再將加密完成後的檔案上傳,這樣就算
檔案經由雲端硬碟意外流出,對方也無法得知檔案的內容。
有了異地備份,假設企業內 2 台主機都損毀或遺失,至少還能夠從
Google 雲端硬碟下載回公司資料,並且再利用當初的金鑰來對公司的
檔案解密,即可將資料取回。異地備份介面如圖 16所示。
圖 16. 異地備份
防毒:
使用 Antivirus Essential防毒軟體,於每日凌晨 2點 40分進行系統
區掃描,此時間點為企業休息時間,才不會影響到 NAS的運作效能。
23
快照:
將企業的重要檔案(包含員工資料交換區、隱藏資料區等)進行每 30
分鐘一次的快照,可以讓企業還原不小心錯誤覆蓋的檔案,能夠還原到
特定的時間點。
並且可以抵擋因勒索軟體(Ransomware)所造成的破壞,如果區域網
路中的電腦不小心中了勒索軟體,間接的把 NAS 上的資料作了加密,
我們就可以利用快照的功能來快速將全部的檔案還原到感染之前的狀
態,這樣就不會因為勒索軟體而讓檔案全部被加密造成損失。快照管理
介面如圖 17所示。
圖 17. 快照保護
24
第四章 案例成果
本案例我們採用 Synology公司的 NAS,設備總成本不到五萬元。此小
型企業導入 NAS設備,並建置完成私有雲端儲存伺服器後,成效比較如表
1所示。
表 1. 企業導入 NAS後的成效比較[7]
比較項目 改進前 改進後
檔案即時備份 無 有
資料權限控管 無 有
檔案誤刪防護(資源回收桶) 無 有
斷電防護 無 有
硬體故障備援 無 有
異地備份 無 有
穩定度 低 高
4.1案例成效
本案例的最大成效是將檔案儲存的安全性提升,使用了 2 台 NAS,在
每台 NAS 中都由 2 顆硬碟組成 RAID1 做備份,等同於將原本的 1份檔案
再備份成 3份,加起來總共有 4份,大幅提升了資料的安全性與高可用性。
任何硬碟發生故障時,只要將故障的硬碟更換,資料就會自動還原。雙主
機所結合的高可用性備援能夠在其中一台 NAS當機或故障時,快速的自動
25
切換至另一台NAS,讓企業從原本的一故障即停擺變成故障後能照常運作,
並爭取維修的時間。
此外,增加了對員工存取檔案之間的權限控管,讓一般員工無法看見企
業的機密資料,提升了資料安全性。而企業有時會誤刪伺服器上的檔案,
原本的伺服器會無法找回被刪除的檔案而造成使用上的困擾。NAS 本身提
供資源回收桶的功能,能對特定資料夾開啟此功能,並設定回收桶的檔案
保留時間與條件,可以在半夜 NAS 閒置時,自動清除過期的回收桶檔案,
解決了企業誤刪而要重新建立檔案的麻煩。
偶而發生的意外斷電會讓公司運作停擺,在沒有不斷電系統的保護下,
遇到電力突然中斷時,很容易造成資料存檔不完整而損壞,尤其 NAS上的
資料最為重要。增加了不斷電系統後,此不斷電系統會在電力中斷時,使
用 USB 介面通知 NAS 遵循正常程序關機,不讓資料來不及寫入而造成損
壞的事情發生,並且在電力故障排除後,自動將伺服器開機,不需要人工
介入。
綜合以上優點,再加上 NAS 的結構簡單、零件較少、並設計成可以符
合 24小時不間斷的運作,可以發現穩定度相對較高,對於企業來說,穩定、
安全的設備是很重要的。
26
4.2實際事件
在 NAS 系統正式上線後的這段期間,大部分都運作得很順利,但是遇
上了幾次的問題與故障,我們將這些事件彙整於此,來證明此套 NAS對此
家企業的資料儲存安全性是有正面的幫助。
• 2016年 6月 12日:硬碟故障。
本系統設計為每日離峰時段都會檢查一次硬碟的健康狀態
(S.M.A.R.T.),於 2016年 5月 27日開始,主伺服器的 1號硬碟不斷
傳出錯誤訊息,因資料有 4份備份,評估後無立即危害,所以先進
行追蹤觀察。2016年 6月 12日,主伺服器 1號硬碟發生 I/O錯誤,
系統完全無法對硬碟進行存取,如圖 18 所示,並且警告儲存空間
安全性已經降級,如圖 19 所示,同時伺服器發出警告聲,使用遠
端維護關閉警告音後,便前往公司進行處理。
圖 18. 磁碟群組錯誤紀錄
圖 19. 儲存空間降級警告
27
到達公司檢測時同時也發現備援伺服器的 1 顆硬碟也發生
S.M.A.R.T.錯誤,為了預防萬一,這兩顆硬碟必須全數換新,由於
系統支援熱插拔的功能,所以不需要將伺服器關機,直接在伺服器
運作的狀態下,我們將這兩顆硬碟拔出,此時系統照常運作,公司
員工進行檔案處理不受影響。硬碟錯誤紀錄如圖 20所示。
圖 20. 硬碟錯誤紀錄
因為硬碟還在保固中,於是現場直接更換了兩顆全新硬碟,回
到公司後將這兩顆硬碟回插至伺服器中,並且至儲存空間管理員中
將新硬碟進行啟用,RAID1 磁碟陣列開始進行修復。圖 21 為堪用
的磁碟陣列。
28
圖 21. 堪用的磁碟陣列
RAID1 在進行修復時,因為要對硬碟同時進行讀寫,並且是軟
體 RAID的緣故,需要耗用較多的 CPU資源,所以此時伺服器運作
速度會稍慢,於約半天後硬碟資料全數修復原成。此事件對公司運
作沒有造成影響。
• 2016年 6月 20日:備援伺服器電源線脫落。
因企業主需要移動伺服器,未將伺服器進行正常程序關機就直
接移動,造成備援伺服器電源線扯到造成脫落斷電,主伺服器偵測
到高可用性無法使用,並進行警告。備援伺服器失效紀錄如圖 22
所示。
將電源線脫落的伺服器重新上線後,系統會自動與主伺服器連
線,並進行高可用性的資料同步,將備援伺服器上面的資料同步至
最新,此次狀況無影響到公司運作。
29
圖 22. 備援伺服器失效紀錄
• 2017年 1月 7日:高可用性斷線。
主伺服器當機,因為高可用性的特性所以自動切換至備援伺服
器,此時備援伺服器會成為主伺服器,繼續提供企業內部檔案服
務。將當機的伺服器手動重新開機後,HA 會自動開始同步兩台伺
服器,如圖 23所示,且不影響公司運作。
30
圖 23. 高可用性同步中
• 2017年 5月 12日:勒索病毒WannaCry攻擊全世界。
這次的勒索病毒與往常的勒索病毒不同之處在於這次的病毒是
主動攻擊的類型,主要目標為Windows作業系統,利用遠端連線的
漏洞來植入此病毒,並且感染成功一台電腦之後,會利用區域網路
去搜尋其他電腦來進一步感染。
在台灣有許多的電腦因為沒有做系統更新,導致此漏洞未被修
補而中了此勒索病毒,尤其在企業環境中,只要有一台電腦中毒,
很容易就造成整個網段中的電腦中毒,它也會將區域網路中分享的
檔案進行加密,也就是說,NAS所分享出的檔案也會被加密,於是
在第一時間我們先填補了 port 137、139、445的漏洞與更新作業系
統,於這次的攻擊中,此企業的電腦沒有受到影響。
31
但假設本企業真的有電腦中了 WannaCry 勒索病毒的話,因內
部電腦可以讀寫 NAS中的資料,所以也可以被WannaCry加密,當
發現資料被加密後,我們必須將每台電腦的網路切斷,然後利用一
台正常的電腦連進 NAS 的管理介面,此時可以利用「快照」的功
能,來將資料快速地恢復到被加密前的狀態,有了這項保護措施,
至少能夠在中毒後保住企業的資料並完整復原。
32
第五章 結論
資料是企業的重要資產,投資升級設備增加資料儲存的安全性,就像買
保險一樣,不怕一萬只怕萬一。隨著科技的進步與成本的降低,使得中小
型企業能夠從備份麻煩、易故障、設定複雜的個人電腦伺服器中,可以升
級為自動安全備份、零件簡單不易故障、設定簡單的 NAS儲存系統。NAS
不只是一台小電腦、伺服器,也是一個企業的私有雲、能夠更便利的存取、
更豐富資源共享、更強大的資料保護,是中小企業可以用小成本投資的大
保障。於此實務案例中,我們利用低成本的 NAS,協助一家小型企業建置
了私有雲端硬碟伺服系統,以大幅改善該企業的資料安全等級。
此企業自從導入了 NAS的資料儲存方式之後,雖然遇上了幾次的故障,
不過因為 NAS的可靠性比傳統的個人電腦高出許多,所以都沒有對企業的
日常運作造成影響,並且導入了磁碟陣列、快照、高可用性與異地備援等
各種的資料防護方式,讓企業的資料儲存安全性相對於原本使用的個人電
腦伺服器有著大幅度的進步,將資料儲存受損的機率降至最低,希望能夠
利用此套 NAS的實際案例來做為各個有資料儲存需求的中小型企業參考,
也可以讓許多對伺服器軟硬體不瞭解的企業做為儲存方案的直接參考。
33
參考文獻
[1] “An Introduction to Network Attached Storage”, HWM magazine, Jul 2003,
ISSN 0219-5607, Published by SPH Magazines, pp.90-92.
[2] “High-Availability Power Systems, Part I: UPS Internal Topology,” Detailed
explanation of UPS topologies, Liebert, November 2000.
[3] J. D'Souza, P. A. Stirpe, and M. Madigan, “A Low Cost, Highly Reliable
Virtual Network Storage System,” 2006 IEEE Long Island Systems,
Applications and Technology Conference, pp.1-7, 2006.
[4] D. Z. Han, “Snins: A Storage Network Integrating NAS and SAN,”
Proceedings of the International Conference on Machine Learning and
Cybernetics, Guangzhou, China, pp.488-493, 2005.
[5] J. Jose, and M. Kumar K V, “Solid Compression Strategy for BTRFS
Snapshot,” 2015 National Conference on Recent Advances in Electronics &
Computer Engineering (RAECE), pp.160-164, 2015.
[6] R. Levine, “NAS Advantage: A VARs View,” InfoStor, April 1, 1998.
[7] Y. L. Lo and B. F. Hong, “A Practical Case of Building Low-cost NAS
Cloud Storage Server for SMEs,” Proceedings of the International
Conference on Innovation and Management, Tokyo, Japan, pp.601-611, 2017.
[8] D. A. Patterson, G. Gibson, and R. H. Katz, “A Case for Redundant Arrays
of Inexpensive Disks (RAID),” Proceedings of the 1988 ACM SIGMOD
international conference on Management of Data, pp.109-116, 1988.
[9] M. S. Racine, J. D. Parham, and M. H. Rashid, “An Overview of
Uninterruptible Power Supplies,” Proceedings of the 37th Annual North
American Power Symposium, pp.159-164, 2005.
34
[10] M. Radu, “Using Markov Models to Estimate The Reliability of RAID
Architectures,” Proceedings of Systems, Applications and Technology
Conference, Farmingdale, NY, pp.1-5, 2013.
[11] L. G. Zhu, D. Z. Han, S. Z. Zhou, and C. S. Xie, “High Availability Cluster
with Combining NAS and ISCSI,” Proceedings of the International
Conference on Machine Learning and Cybernetics, Dalian, China, pp.
4455-4460, 2006.
[12] ASUSTOR Inc., https://www.asustor.com
[13] QNAP Systems, Inc., http://www.qnap.com
[14] Synology Inc., https://www.synology.com
[15] Thecus Technology Corp, http://www.thecus.com
[16] Wiki RAID, https://zh.wikipedia.org/wiki/RAID
