跳轉到

資料備份與封存

以下是關於規劃辦公室內的 NAS(網路儲存設備)備份設施的詳細操作手冊,包括不斷電設備、外網連入方式以及整合 Tailscale 的規劃範本:

1. 選擇和設定 NAS

選擇合適的 NAS 設備

  • 確認 NAS 機器具備足夠的儲存容量,足以容納公民團體所需的所有檔案和數據備份。
  • 選擇具有 RAID 功能的 NAS 以增加資料安全性。

選購硬碟

  1. RAID 配置:選購容量合適且可靠的硬碟,並設定 RAID 1、RAID 5 或 RAID 6 來提供數據資料冗餘,提高數據資料安全性。

    什麼是 RAID 1、RAID 5、RAID 6

    RAID 磁碟陣列是一種把多個硬碟合併起來運作的方法,可以讓資料存取速度更快,或是讓資料更安全。簡單來說,就是把多顆硬碟當成一個來用,好處很多。

    1. RAID 1(鏡像)

      • 簡單說明:RAID 1 是將資料數據複製到兩個硬碟上,確保一個硬碟損壞時,資料數據仍然完好無損地存在於另一個硬碟。
      • 優點:高資料數據保護,讀取速度可能增加。
      • 缺點:只利用一半的儲存容量。例如:兩個 1TB 的硬碟,只能存 1TB 的資料。

    2. RAID 5(分散奇偶校驗)

      • 簡單說明:RAID 5 將資料數據和奇偶校驗資料分散存儲在至少三個硬碟上。即使其中一個硬碟損壞,資料也能透過奇偶校驗重建出來。
      • 優點:資料保護好,讀取速度快,儲存利用率較 RAID 1 高。
      • 缺點:寫入速度較慢,且需要至少三個硬碟。

    3. RAID 6(雙奇偶校驗)

      • 簡單說明:RAID 6 類似 RAID 5,但多了一層保護,使用雙重奇偶校驗。即使有兩個硬碟同時損壞,資料數據依然可以恢復。
      • 優點:資料保護更強(可容忍兩個硬碟故障),讀取速度快。
      • 缺點:寫入速度比較慢,需要至少四個硬碟,儲存利用率比 RAID 5 低一些。

    結論

    • RAID 1 適合對資料安全要求高,但儲存容量需求不大的情況。
    • RAID 5 適合平衡效能、儲存利用率和資料安全。
    • RAID 6 適合需要更高資料安全性,能容忍多個硬碟失效的情況。

  2. 硬碟品牌推薦:選用傳統轉盤印碟,不要使用固態硬碟(SSD),如 Seagate、WD,以提高耐用性。

    不要選擇同一品牌或同一時間生產的硬碟?

    在選購 NAS 硬碟時,我們會建議不要選擇同一品牌或同一時間生產的硬碟。這是因為:

    1. 同一品牌或同一批次的硬碟容易同時故障:如果這些硬碟是同一品牌或同一生產批次,那麼他們內部的部件和技術可能是相同的,也就是說,他們可能有類似的使用壽命和故障風險。這樣一來,當其中一顆硬碟出現問題時,其他的硬碟也有可能會在差不多的時間內出現問題,造成資料同時無法讀取或損失。

    2. 異常風險分散:選擇不同品牌、不同生產時期的硬碟,可以有效地分散風險。這就像是把雞蛋放在不同的籃子裡,一顆硬碟壞了,其他硬碟還是正常運作,資料比較不容易全部丟失。

2. 選購不斷電系統 (UPS)

  1. 容量計算:計算辦公室內需要接入 UPS 的設備(如伺服器、NAS、路由器等)的總功率,選擇一個能夠支撐總功率的 UPS,以防電力中斷。。
  2. 品牌選擇:推薦 APC、CyberPower 等知名品牌的 UPS 系統,以穩定電力供應。

3. 安裝和設定 NAS

  1. 安裝硬碟:依照 NAS 的說明書將硬碟安裝到 NAS 裝置中。
  2. 連接到網路
    • 使用乙太網路線將 NAS 連接到辦公室的路由器或交換器。
    • 開啟 NAS,並通過網路上找到 NAS 的 IP 位址。
  3. 初始化設置
    • 使用 NAS 供應商提供的管理軟體,完成初始設置,如建立管理員帳號。
    • 設定 RAID,以確保資料冗餘和安全。

4. 安裝不斷電系統(UPS)

  1. 安裝 UPS:將 UPS 放置在辦公室靠近 NAS 及其他較重要設備的位置。
  2. 連接設備
    • 將 NAS、路由器和其他重要設備插入 UPS 的插座。
    • 確保 UPS 的操作和監控軟體安裝在 NAS 或其他連接的電腦上,以監控電力狀況。
常見的忽略
  • 安裝好 UPS 後,請檢查是否有將「電量通知訊號線」連接回 NAS。當停電時供電來自於 UPS,如未在時間內復電而 UPS 電量將耗盡時、才有能力通知 NAS 進入到正常的關機程序,保護硬碟運作。

5. 網路設置與外網連入

建議衡量組織可承受之風險與網路設備掌握程度,建立對外網路連線存在一定的高度風險。

  1. 內部 IP 設定:給 NAS 設備分配固定的內部 IP 位址,確保穩定連接。
  2. 路由器設定:在辦公室的路由器上設定端口轉發(Port Forwarding),將外部連接對映到 NAS 設備的內部 IP 上。
  3. DDNS 設定:使用動態域名服務(DDNS),這樣組織成員不用每次更換變動的 IP 位址,推薦使用 NAS 設備商提供的 DDNS 服務。

6. 設定備份與安全性

  1. 用戶與權限

    • 根據成員的角色與需求,在 NAS 上設置不同的用戶帳號與權限。
    • 確保只授權必要的連線與存取權限,以減少安全風險。

  2. 資料備份計畫

    • 擬定定期備份計畫,如每日、每週或每月自動備份重要資料數據。
    • 檢查備份報告,確保備份成功進行。

7. 遠端訪問與安全設置

  1. VPN 設定:為提高安全性,建議使用 VPN 環境下進行遠端連接。可以使用 NAS 上提供的 VPN 伺服器功能。
  2. 雙因素認證 (2FA):啟用雙因素認證,提高登入的安全性。
  3. 防火牆設定:設定防火牆,限制外部連接的 IP 範圍,減少未經授權的訪問。

8. 整合 Tailscale 連線

可參考使用,透過建立類似大內網的方式連線到登記的網路設備中。

Tailscale 是一種基於 WireGuard 的 VPN 服務,它使得設備之間形成一個私有的網路,簡化了遠端連線流程。

設置 Tailscale

  1. 註冊和安裝 Tailscale:連線到 Tailscale 官方網站,建立一個帳戶並依指引安裝 Tailscale 用戶端在 NAS、工作電腦及其他需要連線的設備上。
  2. 設置 Tailscale 網路:登入 Tailscale 控制台,將所有需要連接的設備加入到你的 Tailscale 網路中。
  3. 確認連線狀態:確認在 Tailscale 控制台中顯示所有設備已成功連線。
  4. 測試 NAS 連接:從外網通過安裝有 Tailscale 的設備,測試連接辦公室內的 NAS 確認連線順暢。

使用 Tailscale 進行遠端存取

遠端用戶只需在其個人電腦或手機上啟用 Tailscale,即可直接訪問在 Tailscale 網路內的 NAS,無需再進行繁瑣的端口轉發或 VPN 設置。