Sinn und Zweck des NAS
Wenn man sich entschieden hat ein NAS (Network Attached Storage) in Betrieb zu nehmen, dann sollte man sich im Vorfeld genau überlegen was man genau für Anforderungen und Aufgaben an das System stellt.
Ausgehend von den Anforderungen kommt man dann zur Hardwareausstattung und der Konfiguration des ganzen Systems. Gerade die Hardwareausstattung mit der notwenidgen Konfiguration wie Netzwerk, etc. treiben die Kosten schnell in die Höhe.
Wenn ich lediglich einen komfortablen und zuverlässigen Ersatz für meine lokalen USB-Festplatten suche, reicht ein einfaches NAS, wenn ich weitere Dienste aber auch mit dem NAS erledigen möchte, dann steigen die Anforderungen an die Hardware schon schnell an.
In meinem Fall ging es primär um die Datensicherung all meiner Daten. Dazu kam der Wunsch automatisch Daten vom MacBook mit dem NAS zu synchronisieren. Das MacBook verfügt nur über 500GB SSD, da kann man immer nur temporär große RAW Datenbestände lagern und bearbeiten. Auf der einen Seite sollen also alle Daten die ich brauche zentral auf dem NAS liegen und als Netzlaufwerk im Betriebssystem eingebunden sein, auf der anderen Seite sollten meine lokalen Ordner wie Dokumente und Bilder auch ständig mit dem NAS synchronisiert werden.
Das zur Verfügung stellen von Daten im Netz als Netzlaufwerke die dann im Explorer oder Finder eingebunden werden, kann jedes NAS. Das automatische synchronisieren ist da schon ein Schritt weiter.
Eine andere Anforderung ist das veröffentlichen bzw. öffentlich zur Verfügung stellen von Bildern. Im ersten Schritt habe ich versucht unsere Bilder über die Webseite des Studios zu veröffentlichen, da waren aber die Mittel des Webseitenanbieters bzw. der Software sehr begrenzt. Ich habe eine Lösung gesucht, sowohl Bilder in Alben zu veröffentlichen, dies verknüpft mit der Studio-Webseite als auch Bilder und Daten zum Download bereitzustellen - ähnlich wie eine eigene Dropbox.
Da ich nun mal bei meinen Daten auch eine Menge an Musik und Videos hatte, wollte ich auch eine Lösung um Multimedia-Inhalte im lokalen Netz zu streamen.
Zusammengefasst hatte ich also folgende Mindestanforderungen an das System:
- Datensicherung
- Fotos veröffentlichen und zum Download bereitstellen
- allgemein Daten zum Download bereitstellen
- Multimedia streamen im Netz
Das alles aber immer unter Kontrolle, also mit Zugangsberechtigungen, zeitlichen Begrenzungen, und allgemein sicher! Auf das Thema sicher gehe ich noch einmal gesondert ein.
Hardware
Nun bringen wir ein paar Informationen aus dem Blog zusammen. Über RAID habe ich bereits kurz geschrieben. Meine Entscheidung ging und würde auch zukünftig immer in Richtung RAID 5 gehen. RAID 5 ist aus meiner Sicht der Beste Kompromiss aus Sicherheit gegen Festplattendefekt und Nettokapazität. Erinnern wir uns: RAID 1 war eine Spiegelung von mind. 2 Platten, wobei die Kapazität einer Platte komplett verloren geht = 50% Verlust. RAID 5 waren mind. 3 Platten, können aber auch mehr sein, wobei auch immer eine Platte als Hardwareschutz gegen Festplattenausfall verloren geht. Bei 3 Platten wäre das auch eine mit Verlust 1/3, bei 4 Platten ist es aber auch nur eine mit Verlust 1/4 usw. Die Performance ist bei RAID 5 m.E. auch besser, da die Daten über mehrere Platten verteilt werden und so auch gleichzeitig über mehrere Platten gelesen und geschrieben wird.
Wer allerdings nur eine Datensicherung haben möchte, dem empfehle ich durchaus eine RAID 1 System mit 2 Platten. Hier werden die Daten ja nur gesichert.
Durch meine Festlegung auf RAID 5 war ich bei einem NAS mit mind 3 Einschüben für Festplatten, entschieden habe ich mich dann für das Synology DS-918+. Zunächst schwankte ich zwischen Synology und QNAP.
3 Umstände haben dann zu Synology geführt:
1. QNAP Produktpalette ist sehr unübersichtlich und eine Anfrage beim Vertrieb von QNAP wurde sehr oberflächlich beantwortet.
2. In allen Tests waren die Synology-Systeme technisch fast gleich mit QNAP aber im Betriebssystem - der Verwaltung des Systems - viel einfacher.
3. Weil Harry mir Synology empfohlen hat:-)
Jedes NAS muss mit Festplatten ausgestattet werden. Hier bin ich auch schon einmal auf die Unterschiede zwischen Desktop und Server/NAS-Festplatten eingegangen. Wenn mann ein NAS mit den oben beschriebenen Anforderungen 24 Stunden an 7 Tagen die Woche (24/7) betreibt, dann braucht man zwingend sehr leistungsfähige Festplatten. Bei einem reinen Datensicherungs-NAS würde ich auch Server-Platten empfehlen, alleine schon wegen der Stabilität der Platten, man kann aber auch die günstigeren Desktop-Platten einsetzen. Wenn man die Daten im RAID 1 spiegelt, ist es unwahrscheinlich, dass beide Platten gleichzeitig sterben - gibt aber keine Garantie.
Ich habe mich für 4 Festplatten der WD Red Serie entschieden mit jeweils 6GB. Diese habe ich im NAS als RAID 5 installiert und somit habe ich 15,71 TB netto an Festplattenspeicher zur Verfügung. Alternativ zu WD Red könnte man auch Seagate Iron Wolf Platten einsetzen. Die Leistungen beider Platten sind vergleichbar. Seagate schneidet bei Energiekosten besser ab und bieten auch meist eine etwas höhere Performance - sind aber auch teurer.
An dieser Stelle komm eine der wichtigsten Überlegungen ins Spiel - die benötigte Festplattenkapazität.
Im Blog hatte ich schon geschrieben, dass ich derzeit ca. 6 TB an Daten habe. Das ist die Angabe ohne zusätzliche Backups durch Time Machine auf das NAS und ohne Synchronisationen von Ordnern vom MacBook zum NAS.
Was ist jetzt der richtige Wert für die Festplattenkapazität? Das ist sicherlich eine der schwierigsten Entscheidungen. Festplatten kosten Geld und je mehr Kapazität umso teurer. Wenn ich aber die Kapazität zu knapp berechne, könnte es passieren, dass in ein bis zwei Jahren die Platten voll sind und ich wieder neue Platten brauche. Der Aufwand ist u.U. sehr groß, man muss ja die bestehenden Datenbestände auf neue Platten umziehen. Wähle ich die Kapazität zu groß, dann habe ich in TB investiert, die ich in ein bis zwei Jahren deutlich billiger bekommen werde.
Wie berechne ich nun meine Werte und welche Hardware-Strategie habe ich verfolgt? Zunächst habe ich analysiert was denn so meine „Massendaten“ sind. Das sind ganz klar die Fotodateien und hier natürlich die RAWs. An zweiter Stelle stehen bei mir Multimediadateien, weniger Filme und Musik, sondern Videotrainings. Der Ordner mit den Videotrainings hat derzeit 270 GB. Das letzte gekaufte Training hatte alleine 12 GB. Dann habe ich mir so angesehen, wieviele Daten so in den letzten Jahren dazu gekommen sind. Interessanterweise wurde der Zuwachs von Jahr zu Jahr höher. Das ist aber nachvollziehbar wenn ich mir z.B. die RAW Dateien anschaue, dann sind die Dateien mit jeder neuen Kamera größer geworden. Aber auch die anderen Daten werden immer mehr. Ich habe mir Parallels installiert um in virtuellen Maschinen Windows zu installieren. Ein Image von Windows belegt als Anfangsgröße mal eben 25 GB.
Ich bin auf einen Wert von ca. 1 TB pro Jahr gekommen - nur für neue Daten, ohne TimeMachine und ohne doppelte Daten.
Altes System 4x4TB=12TB netto, davon 6TB =50% belegt. Das ohne TimeMachine und mit vielen GB verteilter Daten auf einzelnen lokalen Platten.
Das neue System musste also deutlich mehr haben als 12TB netto. Ich habe mal die Preise für 6TB, 8TB und 10TB verglichen. Während man für eine 6Tb ca.160,-€ zahlen musste, kam die 8TB schon auf ca. 220,-€. Je höher die Kapazität, umso günstiger der GB-Preis. Aber ich wollte flexibel sein und hatte zusätzlich noch jede Menge 1TB, 2TB und auch 2 x 8 TB Platten.
Daher habe ich mich entschlossen mein DS-918+ bezüglich der Platten voll auszureizen. Die 9 steht nämlich für weiter 5 Festplatten (zu den internen 4) die über eine Erweiterungseinheit angeschlossen werden.
Ich habe jetzt also 9 Platten die ich in 3 Volumes (Zusammenschluss von Platten zu einem logischen Laufwerk) aufteilen. Das ist sicherlich zunächst einmal Luxus aber durch diese Konfiguration kann ich jederzeit die Kapazitäten erhöhen ohne dabei das NAS neu installieren zu müssen. Ich werde mit Sicherheit als nächstes - wenn Bedarf - nur die 3 Platten mit 2 GB tauschen. Somit kann das System wachsen. Die verschiedenen Volumes helfen auch die Dateiarten bzw. Anwendungen zu sortieren. So werde ich Daten mit externen Zugriff nur auf einem extra Volume haben, etc.
Damit waren die Entscheidungen für die Hardware, welches NAS-Model, welche Platten gefallen.
Beim NAS-Model spielten aber auch noch andere Parameter eine wichtige Roll. NAS sind vollwertige Server von ihrer Funktion her. Zumindest ist das so bei Synology und QNAP. Bei meinem alten WD EX 4 war das mit Sicherheit nicht ganz so. Das NAS hat ein Betriebssystem und eine grafische Oberfläche. Die ganze Bedienung ähnelt sehr dem Umgang mit Windows oder MAC.
Es werden Applikationen direkt auf der NAS installiert und Prozesse ausgeführt. Das alles benötigt Rechenleistung und Arbeitsspeicher. Dabei unterscheiden sich die Modelle deutlich was die Prozessoren und den max. Arbeitsspeicher angeht. Leider sind die Prozessoren im NAS im Vergleich zu den aktuellen CPU zwar kleine Fische aber immerhin deutlich mehr als in manchen billigen Hardwarekomponenten. Ich war überrascht wie gut und performant ein Intel Quad Core Celeron mit 1,5GHz ist.
Es gibt verschiedene Modelle für unterschiedliche Einsatzgebiete. Wer viel Wert auf Video-Konvertierung und andere rechenintensive Prozesse legt, der sollte sich eine der stärksten CPU kaufen. Mir war die Performance für Datendurchsatz und ein flüssiges Arbeiten sehr wichtig.
Daher habe ich den Arbeitsspeicher auf die max. 8GB aufgerüstet und ein zusätzliches SSD Modul als reinen Lese-Cache eingebaut. Wenn ich mir die Auswertungen des Ressourcen Monitor anschaue, dann war der Arbeitsspeicher noch nie mit mehr als 50% belegt. Die CPU werkelt so normalerweise, bei einem aktiven Kopierprozess (Synchronisierung im Hintergrund), bei 30%. Der Lesecache liefert Treffer zwischen 50% und 100%. Insgesamt sind das sehr gute Werte.
Netzwerk
Das Bottleneck in dieser Konfiguration ist also nicht das NAS oder die Festplatten. Der nächste Punkt der zu betrachten ist, gilt dem Netzwerk.
Mein Netzwerk besteht aus einer FritzBox 7590 mit einem 50MBit DSL der Telekom und einem zentralen Switch. Im Haus habe ich an allen wichtigen Stellen bei der Renovierung Netzwerkdosen installiert und diese mit Cat 6 auf ein Patchfeld geführt. MacBook, Handys,iPad sind über WLAN verbunden, während Fernseher, Magenta TV, Drucker, etc. über LAN angeschlossen sind. Natürlich wird das NAS auch direkt per LAN-Kabel an den Switch angeschlossen.
Der Switch hat eine Kapazität von 1 Gigabit pro Port. damit ist die Bandbreite für das NAS beschränkt. Man beachte den Unterschied zwischen Gigabit und Gigabyte. Hier gibt es immer sehr viele Missverständnisse.
Ich versuche mal mein Glück:
DSL bietet 50 Mbit/s das entspricht 50 / 8 = 6,25 MB/s
Switch bietet 1 Gigabit/s das entspricht 125MB/s
zum Vergleich USB 2.0 = 60MB/s, USB 3.1 = 1,25 GB/s, eSATA III = 750 MB/s
Damit haben wir 2 Geschwindigkeiten im Netz. Im LAN haben wir 125MB/s um Daten zu transferieren und im WAN (Internet) haben wir 6,25MB/s.
Im WAN müssen wir auch noch zwischen Upload und Download unterscheiden. Hier ein Bild meiner Fritzbox. Die Telekom ist bei mir sehr nett, ich habe zwar nur 50 Mbit/s aber bekomme doch über 60 MBit/s zur Verfügung. Die 63,67 ist die Download Geschwindigkeit, in das Internet hinein kann ich nur mit 12,73 Mbit/s uploaden. Das ist wichtig für Datensicherungen über das Internet oder generell das Hochladen von Daten in eine Cloud.
Kommen wir zurück auf das LAN. Hier bietet die DS-918+ einen großen Vorteil, man kann die beiden LAN Anschlüsse mit jeweils 1Gbit/s zu einem virtuellen Anschluss zusammenfassen. Dann hat man 2 Gbit/s = 250MB/s. Voraussetzung ist, dass der Switch das auch kann. Beim Switch heisst das Link-Aggregation. Mein alter Netgear (2 Jahre alt) konnte das nicht. Da ich aber auch für ein weiteres Vorhaben noch Power over Ethernet (PoE) brauchte, musste eh ein neuer Switch her.
Der Zyxel GS-1900 24 PoE kann Link-Aggregation und verfügt über eine idiotensichere Bedienoberfläche. Wie im Blog erwähnt, braucht man für NAS ein Netzwerk, nicht jeder hat aber Lust sich zum Systemadminsitrator ausbilden zu lassen. Insbesondere bei Netzwerken gibt es tausend Fallstricke. Ich kann die Zyxel empfehlen und die gibt es auch mit z.B. nur 8 Ports und ohne PoE für 70,-€.
Zusammengefasst sieht meine Konfiguration wie folgt aus:
- FritBox mit 6,25Mbit/s (plus Telekom Goody) ins Internet (als Gateway)
- 250MB/s im LAN
- DS-918+ und DX-517 mit 9 Festplatten in 3 Volume und in Summe 26,17 TB
- Zyxel Switch mit Link-Aggregation
Sicherheit
Das Thema Sicherheit sollte und darf nicht unterschätzt werden. Auf dem NAS liegen alle Daten inkl. sehr persönlicher Daten wie z.B. Steuererklärung etc. Das NAS ist permanent mit dem LAN verbunden und somit auch permanent mit dem Internet über das Gateway - die FritzBox. Wo Daten rausgehen, da können auch Daten reinkommen - auch unerwünschte. Es geht um Viren, Trojaner und Datenklau.
Oft wird die Sicherheit vernachlässigt, man hat keinen direkten Nutzen, die Software kostet Systemressourcen und Sicherheit kostet Geld.
Ich betrachte hier sowohl die interne Sicherheit, das Thema Backup als auch die externe Sicherheit wie Virenschutz, etc.
Im Internet kursieren einige Sicherheitregeln, ich habe einmal die 11 wichtigsten aus meiner Sicht zusammengefasst:
Admin Konto sperren
admin ist das Standardkonto auf fast jedem System. Wer in ein System eindringen will versucht es zunächst als admin, dann braucht er nur noch das Passwort zu knacken. Die Empfehlung ist es, das admin-Konto zu sperren und stattdessen eine andere Benutzerkennung zum admin zu machen - mit Adminrechten zu versehen. Dann muss der Eindringling erst die Benutzerkennung und das Passwort knacken
Protokolle deaktivieren die nicht benötigt werden (SMB;AFP; etc.)
Damit geht es schon ins Eingemachte. Mit Protokollen sind hier die verschiedenen Übertragungsprotokolle gemeint. Während früher Apple und Microsoft unterschiedliche Wege gingen (Apple = AFP, MS= SMB), läuft heute auch Apple in Richtung SMB. Jedes Protokoll hat Sicherheitslücken die es Angreifern ermöglichen in das System einzudringen, je weniger Protokolle aktiv sind, umso weniger Einfallstore. Ich habe alle nicht notwendigen Protokolle im NAS abgeschaltet.
Sichere Kennwörter
Kennwortregel mind. 8 Zeichen Groß-Klein-Sonder keine Sinnwörter. Hier gibt es die häufigsten Fehler. Wer Passwörter wie 1234, password, Geheim oder Namen, etc. verwendet, kann auch gleich die Anmeldung abschalten. Hier hilft ein Passwortgenerator. Die Passwörter kann man sich sehr gut in einer verschlüsselten App speichern. ich verwende seit Jahren bei mir 1 Password für den Mac und hatte noch nie Probleme.
2 Stufen Authentifizierung
Ich habe das aufgelistet bin mir aber selbst uneinig. 2 Stufen bedeutet, dass man nicht nur ein Password hat, sondern zusätzlich noch ein PIN an eine Handy-Nr. oder eine E-Mail an ein bekanntes E-Mail-konto sendet. Damit kann selbst nach Verlust des Passwort niemand ins System eindringen, denn es fehlt der PIN. Dieser wird zeitlich befristet an die hinterlegen Kommunikationsschnittstellen gesendet. Man müsste schon Password und Handy/E-Mail Zugang verlieren. Ich persönlich bin noch nicht so weit, da ich mich täglich x-mal am System Anmelde, wenn alles konfiguriert ist, dann werde ich aber wahrscheinlich auch ich die 2 Stufen Authentifizierung aktivieren.
Firewall aktivieren
Dazu gibt es nicht viel Neues. Sowohl Fritzbox als auch div. andere Komponenten wie das NAS bieten eine lokale Firewall an. Der Nachteil der Firewall ist immer der gleiche - man hat zum teil keinen Zugriff auf erwünschte Dienste und muss dann immer Regeln definieren.
SSL Verbindung wo möglich (HTTPS)
Eine der wichtigsten Regeln beim Einsatz von NAS. Wir greifen auch von aussen auf die Daten zu und der gesamte Verkehr im Internet ist nicht gerade sicher. Hier bieten die höherwertigen NAS eine Menge an Sicherheitsfeatures
Anwender Berechtigungen auf Ordner
Damit ist gemeint, dass wenn mehrere Nutzer eingerichtet werden, diese nicht alle die Administratorrechte bekommen. Jeder Nutzer braucht nur die Rechte für die Ordner mit denen er auch arbeitet. Es gibt auch Sondernutzer nur für bestimmte Dienste, wie z.B. Datensicherung etc.
System immer aktuell halten mit Patches
Ist selbsterklärend und inzwischen wohl auch bei fast allen gegeben.
Virenscanner einschalten
Die Synology NAS bringen z.B. eine eigene kostenlose Lösung mit, die durchaus mit aktuellen Programmen wie Mc Afee mithalten kann.
Systemprotokolle und Nachrichten prüfen auf auffällige Hinweise
Ich lasse mir regelmässig bestimmte Protokolle per Mail senden. So sehe ich relativ schnell ob etwas auffälliges vorgefallen ist. Das geht von Anmeldefehlversuchen bis hin zum Festplattenstatus.
Datensicherung
Ein Punkt ist aus meiner Konfig noch übrig. Wie mache ich Datensicherung?
Dazu verfolge ich die 321 Regel - sehr konsequent.
Ich mache lokale Datensicherungen auf lokale Festplatten die ich direkt an mein NAS anschliesse. Diese Sicherungen verwahre ich zu Hause. Sie sind meine Versicherung gegen einen Totalausfall des NAS. Das kann ein zerstörerischer Blitzeinschlag sein, ein techn. Defekt im NAS der alle Daten unlesbar macht oder der Faktor Mensch. Auch ich kann einen Fehler machen und versehentlich die Daten löschen oder ein anderer Mensch infiziert meine Daten mit einem Virus. Gegen alle diese Risiken hilft mir die lokale Datensicherung. Als Sicherungsmedium verwende ich normale Festplatten mit ausreichender Kapazität. Da die Platten nicht groß genug für alle Daten sind, habe ich die lokale Datensicherung auf mehrere Jobs aufgeteilt, die auf unterschiedliche Platten sichern. Das ganze wird vom NAS automatisiert gesteuert und geprüft. Klappt eine Datensicherung nicht, bekomme ich eine Mail mit dem Fehlerhinweis.
Damit habe ich aber nicht alle Regeln erfüllt. Was noch fehlt ist die Georedundanz oder einfach ausgedrückt - immer eine vollständige Sicherung an einem anderen Ort. Damit wird das Risiko durch Wasser, Feuer, Diebstahl der Hw, etc. mitigiert.
Hier komme ich wieder zu meinem NAS von Synology. Synology bietet jede Menge Software kostenlos zum NAS mit an. U.a. auch Software für Datensicherung und Datensynchronisation über das Internet. Ich habe mich entschlossen eine weiter DS-918+ an einem anderen Ort zu installieren. Dieses NAS wird zur Datensicherung genutzt. Über fest definierte Jobs werden alle Daten über das Internet vom Host-NAS zum Remote-NAS übertragen. Ich sicher die Daten dabei über 2 unterschiedliche Wege. Ich erstelle täglich ein verschlüsseltes Backup aller Daten mit Versionierung. Das bedeutet, dass ich mehrere Versionen der Daten speichere. Der Nachteil dieser Lösung ist, dass die Daten nicht direkt lesbar sind. Es ist eher wie ein TimeMachine File, verschlüsselt und nur über eine spezielle App wiederherstellbar. Dafür aber eben mehrere Versionen und komprimiert. Der zweite Weg ist eine 1 zu 1 Synchronisation der wichtigsten Daten.
Hier werden ausgewählte Ordner über das Internet 1 zu 1 repliziert. Die Daten stehen am Ziel sofort verwendbar zur Verfügung.
Beide Wege laufen automatisch und verschlüsselt über das Internet. Hier war die größte Arbeit bei der Konfiguration, denn man muss erstmal aus dem Internet eine Adresse im heimischen LAN erreichen können. Das geht bei 95% der DSL-Kunden nicht so einfach, da die IP Adresse des Providers täglich wechselt. Hinzu kommt noch einiges an Konfiguration im Gateway z.B. Portfreigaben, DNS, etc.
Synology bietet auch hier Lösungen die sich als begabter Amateur umsetzen lassen. Ich habe dynamischen DNS, Portweiterleitungen und verpflichtend HTTPS konfiguriert.
Da es sich um riesige Datenvolumen handelt, habe ich die Daten zuerst lokal kopiert um dann über das Netz die Veränderungen zu sichern.
Zu meiner Konfiguration oben kommt also noch ein zweites DS-918+ dazu:-)
Der Punkt zur Datensicherung ist mir besonders wichtig und es war ja auch der Startpunkt des ganzen Blog.
Ich habe verschiedene Lösungen skizziert, meine Überlegungen zu einem Konzept und dies konkret an meiner Konfiguration dargestellt.
Zugegeben, es ist viel mehr geworden als ich einmal zum Blog geplant hatte, ich hoffe ihr konntet dennoch was mit den Infos anfangen und ich stehe euch gerne für Fragen und Ratschläge zur Verfügung.
Bei mir ist noch nicht Ende mit der Einrichtung. ich arbeite noch an div. Themen und vielleicht blogge ich da noch mal das ein oder andere.
VG
Burkhard
Kommentar schreiben
harry (Montag, 27 Juli 2020 19:55)
Wow ... Respekt ! da hast Du Dir aber Mühe gemacht.
Ich bin gerade dabei aufgrund dieses Artikels meine Backup-Konfiguration und -Strategie zu überdenken :)
Denn ich habe aus Faulheit die externen Festplatten, auf denen ich genau wie Du separate Backups mache, nicht hinten am NAS sondern an einem USB Hub angeschlossen. Muss das Ganze umbauen und paar neue Jobs in ChronoSync basteln.
btw.: ich werde mal bei Synology anrufen ob ich ein Werbegeschenk bekomme :)))