Serwery plików NAS

Intuicyjny system Synology

opublikowano przez Piotr Romański w dniu 2017-09-07

Dla wielu użytkowników zarządzanie serwerem może kojarzyć się ze skomplikowanymi czynnościami administracyjnymi. Ale nie w przypadku Synology. Producent doskonale dopracował system DSM, który stał się również bazą do zastosowania w routerach Synology. Instalacja i konfiguracja początkowa serwera jest maksymalnie uproszczona i nie sprawi problemu nawet początkującemu użytkownikowi.

Po podłączeniu NAS-a do sieci energetycznej i sieci LAN wystarczy w przeglądarce internetowej wpisać adres: find.synology.com. Po chwili zostanie wyszukany nasz serwer. Opcjonalnie można wykorzystać dedykowane narzędzie Synology Assistant.

W kolejnych krokach przystępujemy do instalacji systemu DSM oraz wstępnej konfiguracji, m.in. podając hasło administratora, nazwę serwera. Dodatkowo możemy skonfigurować usługę QuickConnect, która ułatwi nam zdalny dostęp do zasobów serwera i jego konfiguracji.

Na koniec asystent instalacji proponuje doinstalowanie kilku pakietów. Jeśli NAS będzie używany w funkcji multimedialnej warto zgodzić się na ich instalację.

Po zalogowaniu do systemu DSM zatrzymajmy się na chwilę przy funkcji Zarządzanie przechowywaniem. W trakcie konfiguracji system utworzył z dostępnych dysków macierz SHR bez grup dysków i przydzielając maksymalną dostępną pojemność. W ten sposób powstał jeden duży wolumen. Z jednej strony to doskonałe rozwiązanie, które chroni dane w przypadku awarii jednego nośnika. Jednak może ograniczyć nam konfigurację przestrzeni dyskowej. Z drugiej strony automatyczna konfiguracja dysków w przypadku DS216play ułatwia konfigurację dla poczatkującego użytkownika.

Warto nieco zmienić konfigurację przestrzeni dyskowej wykorzystując grupy dysków i wolumeny. Grupa dysków to nic innego jak przypisanie logiczne określonych fizycznych nośników do macierzy dyskowej. W przypadku urządzeń cztero- i więcej dyskowych takich grup można tworzyć wiele. W DS216play z racji ograniczenia liczby nośników do dwóch i zachowania redundancji zapisu, najlepiej utworzyć jedną grupę dyskową złożoną z dwóch nośników o określonym typie macierzy RAID lub SHR.

Mając utworzoną grupę kreujemy wolumeny. I tu pierwsza zaleta Synology jeśli chodzi o tę konfigurację. W ramach stworzonej grupy dysków możemy tworzyć wiele wolumenów, przydzielając im odpowiednią przestrzeń dyskową. Dla wygody możemy utworzyć wolumeny, które nie będą wykorzystywały całej przestrzeni. Jeśli zacznie brakować miejsca na którymś z wolumenów, możemy w szybki sposób rozszerzyć jego pojemność do maksymalnej dostępnej w grupie dysków.

Kolejnym plusem w przypadku grup dysków i wolnej przestrzeni, są znacznie większe możliwości jeśli chodzi o obsługę protokołu iSCSI. Choć w warunkach domowych może być on rzadziej wykorzystywany niż w biznesie, to jednak warto mieć na uwadze funkcje iSCSI.

Jeśli macierz nie jest utworzona w ramach grupy dysków możemy tworzyć jednostki LUN tylko na poziomie pliku. W przypadku grupy dysków jeśli dysponujemy wolną przestrzenią można także korzystać z jednostek LUN na poziomie bloku.

Synology DS216play oferuje także system powiadamiania o stanie dysków twardych, możliwości wykonywania testów SMART także w oparciu o harmonogramy.

Co DS216play oferuje w zakresie usług sieciowych? Serwer NAS jest urządzeniem, którego główną rolą jest przede wszystkim udostępnianie danych. I z Synology nie jest inaczej. NAS natywnie wspiera kilka protokołów dostępowych:

  • CIFS/SMB
  • AFP łącznie z Bonjour i obsługa kopii Time Machine
  • FTP, FXP, SFTP i TFTP
  • Rsync
  • NFS
  • WebDAV (po instalacji pakietu)

W zależności od konfiguracji DSM, możemy także przydzielać odpowiednie uprawniania zarówno do usług jak i folderów udostępnionych na NAS-ie. W sekcji Użytkownik oraz Grupa możemy kreować konta użytkowników oraz ich przywileje. Dla każdego z kont istnieje możliwość włączenia folderu domowego i określenia limitu powierzchni dyskowej.  Na samym końcu przypisać uprawniania do poszczególnych aplikacji zainstalowanych na serwerze NAS oraz opcjonalne limity szybkości.

Jeśli w sieci znajduje się skomplikowana struktura kont możemy posłużyć się elementem jakim są Grupy. W ramach grupy utworzyć kilka kont i globalnie przypisać jej uprawnienia. Choć DS216play jest dedykowany dla użytkowników domowych, to ma możliwość współpracy z usługami katalogowymi Active Directory oraz LDAP. Sam serwer może być również kontrolerem domeny. Wystarczy doinstalować pakiet Directory Server.

Dodatkową zaletą DS216play jest możliwość wykorzystania go jako klasycznego serwera do wielu innych usług sieciowych. Synology może stać się serwerem:

  • DHCP – przydzielać adresy IP dla hostów w sieci LAN,
  • DNS – wspierać tłumaczenie adresów IP na nazwy,
  • VPN – zdalne, szyfrowane połączenie do sieci lokalnej dla 15 kont,
  • RADIUS – wspomaga centralne uwierzytelnianie,
  • Proxy – m.in. przyspiesza wczytywanie stron WWW,
  • WebDAV,
  • Mail Server – serwer poczty email,
  • Web Station – wraz z pakietem bazodanowym może stanowić świetną alternatywę dla komercyjnych hostingów WWW,
  • Zaawansowani użytkownicy mogą dodatkowo włączyć usługę telnet oraz SSH a także skomunikować NAS-a z użyciem SNMP i monitorować jego parametry, np. przez PRTG.

Z racji tego, że DS216play wyposażony jest w jeden interfejs sieciowy, nie mamy dodatkowych możliwości kreowania tras sieciowych czy też konfiguracji LACP lub łącza zapasowego. Jednak i z jedną karta sieciową NAS oferuje kilka ciekawych funkcji:

  • sterowanie ruchem – pozwala na przypisanie określonej przepustowości dla poszczególnych aplikacji i usług sieciowych,
  • określenie routingu statycznego,
  • zmianę domyślnych portów zarządzania serwerem,
  • tunelowanie IPv6,
  • obsługę PPPoE,
  • utworzenie połączenia VPN ze zdalną lokalizacją z użyciem PPTP, L2TP oraz OpenVPN.

Z kolei obecność dwóch portów USB nieco ogranicza nasze możliwości podłączenia dodatkowych urządzeń. Ich lista jest przebogata, a szczegółowe dane można znaleźć na stronie producenta. Warto chociażby wymienić: nośniki danych USB, karty dźwiękowe i moduły blutooth oraz karty sieciowe WiFi.

W tym ostatnim przypadku DS216play został wyposażony w aż trzy tryby pracy bezprzewodowej:

  • bezprzewodowy punkt WiFi,
  • router bezprzewodowy,
  • klient WiFi.

Usługi punktu dostępowego i routera prócz klasycznych mechanizmów WiFi oferują również kontrolę rodzicielską, szyfrowanie a także filetowanie adresów MAC. Z kolei ostatni przypadek (klient WiFi) należy traktować raczej jako ciekawostkę ponieważ podłączenie NAS-a z użyciem znacznie wolniejszego niż gigabitowy Ethernet połączenia, znacznie pogorszy jego wydajność sieciową.

Ważnym elementem każdego systemu gromadzącego dane jest bezpieczeństwo. I nie mówimy tu tylko o przydzielaniu dostępu do zasobów z użyciem kont użytkowników, czy przydzielaniu uprawnień do aplikacji. W sekcji Panel Sterowania – Bezpieczeństwo znajdziemy ustawienia, które pozwolą na dokładniejsze skonfigurowanie opcji związanych z dostępem do DS216j. Wymieńmy je pokrótce:

  • czas wylogowania – pozwala na określenie jak długo przeglądarka będzie trzymała sesję nieaktywności użytkownika,
  • wzmocnij ochronę przed atakami Cross-Site Request Forgery,
  • zwiększ bezpieczeństwo za pomocą nagłówka HTTP Content Security Policy (CSP) - wzmacnia ochronę systemu przed atakami typu XSS (Cross-site scripting),
  • zapora sieciowa – bardzo konfigurowalny mechanizm umożliwiający blokadę lub zezwalanie dostępu do określonych usług z poziomu adresów IP czy całych podsieci a nawet regionów geograficznych,
    • www22
  • ochrona przed atakami DoS,
  • automatyczne blokowanie – adresy IP, z których nastąpi nieudane lub nieautoryzowane próby logowania mogą zostać zablokowane
  • niezaufani i zaufani  klienci – blokowanie prób nieudanego logowania na określone konto
  • certyfikat – zabezpieczenie serwera, a dokładniej jego usług i możliwość sprawdzenia tożsamości serwera podczas komunikacji

Na koniec ciekawe i niezwykle pomocne narzędzie umożliwiające kompleksową analizę stanu zabezpieczeń NAS-a. To pakiet Doradca ds. zabezpieczeń. W zależności od wybranego scenariusza – użytek domowy lub użytek biznesowy Doradca przeskanuje system i jego ustawienia i wyświetli raport pozwalający na poprawę ewentualnych dziur, czy nieskonfigurowanych elementów bezpieczeństwa.