2019年9月23日 星期一

開源網路儲存伺服器:FreeNAS (二)



延續昨天的 FreeNAS 網路儲存伺服器主題,今天要從災後復原的角度來介紹如何以 FreeNAS 做出應對,我們可以操作 FreeNAS 進行資料加密,當然惡意團體也可以反過來用加密對我們進行勒索,這真是一個相當有趣的對比。

這讓我想起一則網路上看過的有趣的故事,有異曲同工之妙:
小明的腳踏車在校園裡經常被偷,他一氣之下就在車上鎖了七道鎖,並在上面附了一張警告紙條,上面寫著:「看你怎麼偷!」
放學的時候,小明發現車子安然無恙,紙條也還在,正高興著自己的方法奏效時,開鎖時卻赫然發現車上多出了第八道鎖,紙條上面還多了一句話:「看你怎麼開!」




快照機制

我們在前一篇提到 ZFS 是 FreeNAS 最重要的功能,那麼在 ZFS 其中最為人稱道的就是 ZFS 所提供的快照 (Snapshot)。ZFS 的快照,製作一次快照的速度極快,若是在 Web 介面手動操作,幾乎是按下製作快照按鈕的同時,這個時間點的快照就已經完成,其速度由此可見。



ZFS 快照三大特點


看起來非常厲害,但使用卻是相當簡單。只要在儲存集區名稱後方的功能表按紐點下去,再點選 [Create Snapshot] 立刻產生一份快照。



製作快照


當系統上線運作以後,還可以利用 FreeNAS 所提供的排程快照功能,定時為儲存集區製作快照,在適當的時間點存下當時的狀態,當日後發生問題時,隨時可以回復到正常運作的時間點,而且速度相當快。



排程快照


FreeNAS 的 ZFS 會以快照為基礎,自動在目錄裡生成唯讀隱藏資料夾 (.zfs/snapshot),裡面以每次快照的時間點為目錄名稱,若需要存取該時間點的資料,只需要切換至目錄內即可讀取或複製出來,使用上相當簡單,與傳統需要掛載快照點才能抓取內容的作法大相逕庭,除了簡單,更是快速。

更厲害的是還提供了快照複製的進階功能,可以將該時間點的快照分支為一個新的資料集 (Dataset),做為讀取與寫入之用,在災難復原場合更是關鍵應用。

例如目前仍在肆虐中的加密綁架惡意程式,如果企業不小心檔案被大量劫持,IT 人員可先將完好的時間點做快照複製出來,讓企業營運得以繼續,至於被加密的內容,則可留待從容的嘗試解密或還原,這對降低服務停機時間,起到非常大的立即效果。






複寫機制

在 ZFS 原生的機制裡,有提供 zfs sendzfs recv 兩個指令,這是基於快照延伸的快照複寫 (Snapshot Replication) 機能可以用來做兩台儲存伺服器之間的資料快速複寫,將快照省容量的優勢盡情發揮,不過這需要使用複雜的指令與 Shell Script 才能達成自動化效果。

在 FreeNAS 上把這個機制做的相當簡單,在主要機與備份機的 Web 介面設定完成後,每次複寫都以快照為單位進行抄送,也因為快照是已經預先製作完成,在複寫時不需再做任何的資料比對或差異計算,直接進行傳送,在效率上是驚人且快速的。若對於跨網路的複寫有安全性疑慮,FreeNAS 預設在複寫進行時還將進行 SSH 加密通訊,可以確保資料不會在傳輸中被截聽竊取。



複寫機制








整合能力

除了快照與複寫這兩個特點之外,由於 FreeNAS 自己也可以做為一台相容 Windows 共用機制的 CIFS Server,因此它可以結合快照功能來提供在 Windows 上稱之為「以前的版本」這個方便的檔案歷史版本功能,而且它能夠在檔案總管的屬性中正常顯示與使用。



以前的版本


而且因為 ZFS 的效能優異,在操作「以前的版本」時更快,伺服器端也效率快,容量小,這對於 IT 管理者來說,讓使用者自己用簡單的界面操作,可以省下許多幫使用者撈取誤刪除或誤覆蓋資料的時間。





結論

儲存伺服器做為企業資料的核心,選擇純軟體式的 SDS 系統,可以讓我們從被特定硬體或格式綁住的情況脫困,真正的將企業資料完全掌握在自己手上,運用自如。

更重要的是,利用 FreeNAS 所提供的各種進階功能,協助我們加密保住資料,以及遇到威脅時的快速恢復能力,使企業遭遇資安問題時能夠在短時間內立即回到軌道持續營運,保持競爭力。