自从各大云盘提桶跑路,以及有工作学习上的需求,对数据安全愈发重视,于是萌生了搭建nas的想法,在此做个简单记录。需求:随时能从互联网上访问到个人文件。方便家人共享管理照片。简单的应用程序测试环境。一、硬件方面:Dell R720 + 单路E5-2680 v2磁盘阵列卡PERC H710 Mini (Embedded)内存16G ddr3 ecc硬盘4xST4000VN008 2DR1 希捷酷狼组成raid10外加一台群晖DS218+,插了一块1Tssd,一块笔记本拆下来的不知道啥牌子的hdd。(关于群晖,drive和photo套没找到合适的替代品,不得不说群晖的套件还是不错)。网络是联通1000M家庭宽带,小米垃圾路由器,99块的tplink五口千兆交换机(没钱)。搞nas尽量用华硕的路由器,我这个ax6000总是抽风,可能是我人品不好
群晖插的硬盘
二、操作系统及软件群晖没啥说的,用了drive和photo套件,还有快速回家服务。群晖的drive套件用来在各个电脑上同步文件,公司未完成的工作,可以回家无缝衔接,不用背着电脑到处跑,photo套件存放照片,配合app,方便家人之间浏览共享。尝试过nextcloud,插件丰富,但是关键的同步服务有些拉胯,客户端总是异常退出。照片方面用过photoprism,时间线浏览不如群晖,而且还不能删除图片,管理逻辑我也有点接受不能没有更好的解决方案之前还是滚回群晖
R720装了esxi7.0,开了6台Linux虚拟机。三台做了Mariadb galera数据库集群(每台2核2G),为平时工作开发测试使用。
db集群
一台运行管理服务(4核2G),使用zabbix监控其他机器运行情况,使用portainer管理docker,ddns服务也运行在这里。还有一个不应该部署在这里的redis
zabbix
zabbix
zabbix可以使用SNMP监控群晖以及宿主机R720的状态
portainer
一台虚拟机用来部署一些应用(4核4G),作为测试机,另外这台机器上部署了AdguardHome,用它作为整个家庭的dns服务器,可以实现过滤广告,限制应用,dns重写等功能。部署了gitea用来存代码,gitlab太吃资源,放弃
AdguardHome
还有一台虚拟机,挂载2T的虚拟磁盘,用作群晖数据的备份(2核2G)。在上面搭建了WebDAV,nfs,其他虚拟机挂载后,可共享文件。
WebDAV
群晖开启smb服务(ssd似乎比较快),window映射网络驱动器后,方便在局域网内共享文件。
三、关于外网访问我们这里的联通宽带直接有公网IP,光猫改桥接,用路由器拨号,在阿里云申请的域名和云解析,由于公网IP不固定,需要做ddns,然而群晖不支持阿里云ddns,网上找的轮子又不太适用,只能自己造一个。
写了个程序,用来做ddns及发送告警信息到微信。大概的原理是5分钟获取一下IP,在调用阿里云的API检查一下有没有变化,有变化的话更新一下云解析A记录即可。
微信提示
四、关于数据安全鸡蛋不能放在一个篮子里,数据也是一样。群晖上的数据通过cloudsync及hyperbackup定时备份到R720上,raid10比较可靠
,另外定期使用移动硬盘备份数据,确保安全。
五、关于网络安全使用路由器的端口转发配合群晖nginx反向代理,实现https访问(证书使用acme脚本,申请的letsencrypt泛域名,替换群晖的默认证书,由于这个证书有效期只有三个月,又配置了定时任务,两个月自动更新一次证书)。本来用的一台虚拟机做dmz,但是nginx代理群晖的套件总是抽风,只能用群晖的nginx。web服务通过统一的端口,由不同的泛域名区分,分发给各个主机地址。
替换证书
反向代理
关于网络安全方面,封闭非必要端口,不使用弱口令,定期修改密码也很重要。另外群晖套件可以使用二步验证,进一步增加安全性。暴露在公网的服务一定要慎重,特别是ssh,如果有必要,一定要更换默认端口并使用复杂密码。六、断电保护没什么好的解决办法,只能用ups,ups检测到断电后,通知群晖,群晖通知esxi,5分钟之后还未恢复供电,则关闭电源,供电恢复后,可自动开机。
群晖ups配置
esxi配置
掉电是机械硬盘最大的杀手,虽然磁盘阵列卡带电池,可以一定程度上避免惨烈的结局,但还是要有备无患。七、关于噪音及电费不得不说R720风扇满载运行,堪比直升机起飞,但是可以使用ipmitool调整风扇转速,实测比我的pc静音。至于电费,比空调省电多了,机器并不是一直满载,而我平时家里的pc也从不关机,无所谓了。
以上教程由“WiFi之家网”整理收藏!
原创文章,作者:路由器百科,如若转载,请注明出处:https://www.224m.com/214502.html
