工作室数据交换中心 — Synology 群晖 DS716+II开箱及配置

购买理由

工作室之前的外国客户一直都是用filezilla给我们传素材文件的，存储在dell t330服务器中（详情可见我上一个产品开箱）

#原创新人#工作室主力存储服务器 DELL PowerEdge T330开箱及存储/网络配置前言首先这不是一篇典型的nas产品开箱及评测文章，其中涉及到的很多功能及设置家用环境下可能无法满足，仅是给大家选购存储产品的参考，本人非计算机及网络相关人员，有些设置可能并不专业，欢迎批评指正购买理由本人男，爱好女，前些年和大学同学开了间工作室，主要做电(kang)影(ri)/视(shen)剧(juLevelGo| 赞107 评论111 收藏539查看详情

国内的客户一直是用百度云，最近想把国内客户也转移到自己的存储中，这样就省去了从百度云下载的时间，然而推广初期就遇到了困难：

不过，最终还是向客户低头 需要赶紧找一个基于web的文件传输解决方案

产品选择

根据目前工作流程，以及客户的要求，总结了一下需求：

1.有web界面，支持通过浏览器上传文件和文件夹，并且对大文件（单文件大于8Gb）支持友好；

2.支持smb共享；

3.支持ftps，支持显式/隐式加密；

4.有完整的日志功能，能够查看用户对文件的操作情况；

5.能够配置分享链接，并有鉴权功能（类似百度云分享）；

6.软件价格控制在免费-2000元以内；

恩~其实以上需求都是软件需求，不涉及硬件，开始是从私有云软件中寻找，陆续密集测试了owncloud、seafile、kodexplorer，不过测试中发现了很多问题，owncloud服务器端现在已经不支持windows了，装centos 折腾半天 发现owncloud对大文件处理不好，修改了.htaccess和tmpfs还是不行，而且在linux开samba就跟在win下开nfs一样**（当年被自动桌子的flame虐惨），放弃。Seafile确实很不错，技术支持、界面、上传功能、客户端、历史版本非常的好用，安装非常简单，自带webserver，这样就不需要配置nginx/apache了，但是seafile上传的数据是分块存储的，这样的话数据访问就只能通过客户端或者web了（当然这并不是坏事，如果日后需要做容灾或者HA，那么分块的优势就体现出来了），但是我还需要通过smb和ftp方式访问，另外服务器如果有两块网卡配置了不同的地址的话，好像只能从其中配置了网关的那个网口访问seafile，放弃。Kodexplorer也很不错，但是不知为何有权限问题，通过smb上传的文件在web下打开就提示权限不足无法打开，而且目前的版本不支持操作日志，和seafile一样用户组等相关高级功能需要购买专业版，而专业版/企业版都是钱！钱！钱！

最后还是从成品nas中进行了选择，好歹相当于买软件还送你一硬件呢，计划买一个双网口双盘位存储，先是图便宜买了qnap的ts-231p

百科威联通（QNAP）TS-231P 1G 内存 2盘位NAS网络存储器 双核1.7GHz处理器 2个网络端口威联通TS-231P为双盘位设计。搭载了来自亚马逊旗下的Annapurna Labs Al-212的双核处理器，主频1.7GHz，内存为DDR的1GB 3，512MB的闪存，支持AES 256bit加密。最大读取和写入速度分别为224MB/s和176MB/s。3个USB 3.0接口，支持802. 值16 点评1 原创0 好价17去购买查看详情

不过实际测试中发现这货的cpu性能有点弱，同时访问人一多cpu就100%。而且软件有重大bug：如果替换了qnap自己的证书，使用非admin用户组的账号在https下访问filestation并下载文件，文件是下载下来了，但是下载的文件大小永远是0Kb。 （因为这个还差点误了大事）5月份给他们提了这个问题，至今没回复。

qnap不能选了，然后开始找群晖的型号，最开始看上了416play，但是那个是双核的X86cpu 担心开启https后上web传速度不行，最后还是选择了群晖ds716+II，怎么着也是个4核的

群晖（Synology）DS716+II 2盘位 NAS网络存储服务器 （无内置硬盘）3999元京东去购买

外观展示

恩～本次依然是伪开箱，拍照时产品已经用了一个多月了，外包装是标准的群晖牛皮纸包装，没啥特别的。

开箱后包含DS 716+II主机、电源适配器 、超五类网线两根、快速安装手册。

这玩意挺小的，和t330比差远了

正面包含热插拔硬盘架两个、系统状态指示灯、网络状态指示灯、usbcopy按钮、usb3.0接口、以及电源按钮。

背面是系统散热风扇、两个千兆网口、两个usb3.0接口、esata扩展接口、电源接口和肯辛通锁孔。

这回上的是两块西数4T红盘 组raid1,

西部数据(WD)红盘 4TB SATA6Gb/s 64M 台式机硬盘(WD40EFRX)1399元京东去购买

然后对于西数红盘我的印象是，差评 。 手里8块红盘坏过4块，好在都是raid1，不涉及数据恢复的问题

硬盘装入机器，安装还是很顺利的，免螺丝。

软件安装/配置

群晖的系统安装在张大妈上已经有不少了，略过。我这里主要是对文件存储、权限、日志、安全进行设置，

安装完系统后，首先从套件中心下载日志中心这个应用

此时你打开日志中心，里面是没有文件传输日志的，还需要做一系列设定才能开启

打开file station----设置----勾选启动file station日志。

打开控制面板----文件服务----SMB/AFP/NFS----勾选启动日志。

在FTP选项卡中启动ftps服务，并在下方点击高级----启动ftp文件传输日志。

至此就能在日志中心看到所有用户访问文件的情况了。

在通知设置中启动电子邮件通知，这样系统更新、磁盘、网络错误、乃至鉴权失败都会通知。

安全性启动自动封锁，在5分钟内连续登录错误出超过5次就会ban IP

之后是替换群晖系统自带的证书，这样通过https访问的时候就不会报证书不合法了，证书分为域名型SSL证书（DV SSL）、企业型SSL证书（OV SSL）、增强型SSL证书（EV SSL）对于我们只需要域名型ssl证书即可。

在这里我并不推荐wosign、和startssl的免费证书（其实wosign本质上也是startssl签发的）， Let's Encrypt需要通过80端口验证，不过国内好像没这个条件 ，本来想用godaddy的证书，我的域名就是在godaddy上注册的，但是我申请的时候不知为何没优惠，原来12刀/年，现在49刀/年，后来看了看comodo ssl 价格不错，什么你连comodo你都不知道，看看这个：

Comodo ，美国的软件公司，是世界优秀的IT安全服务提供商和SSL证书的供应商之一，总部设在新泽西州泽西城，成立于1998年。 Comodo 提供一些免费的产品，可以通过其官方网站下载。值得注意的是他们的免费程序防火墙，以及其他免费的安全工具，如防病毒，防恶意软件，搜索引擎和内存防火墙。以A-VSMART保证电子商务的实时安全。 Comodo 也是一个全球领先的SSL证书提供商。

他们家的安全软件非常好，而且免费，当年告别了卡巴斯基6以后，comodo就一直用到了现在，特别是他的hips系统，如果设置得当，可以做到天下无毒。

（使用comodo ssl这里有个技巧，用google搜索comodo ssl，第一个广告里买的话是8刀/年或者6刀/年），没办法科学上网的或者没有双币信用卡的也没关系，x宝上有大量的comodo ssl证书

comodo ssl_淘宝搜索s.taobao.com去看看

申请证书的的方法非常简单，当然首先得注册个域名，国内aliyun、dospod、万网都可以，但是国内注册域名各种手续，认证比较复杂，我一直用godaddy注册管理域名，更好的是godaddy支持支付宝结算

Go Daddy是一家提供域名注册和互联网主机服务的美国公司，服务产品涉及域名主机领域基础业务：域名注册、虚拟主机、VPS、独立主机，以及域名主机领域的衍生业务：独立IP、SSL证书、网站建设、邮箱、相册、速成网站、加速搜索引擎收录、网站分析等。

在注册域名的时候会让你填写一些联系信息，其中e-mail非常重要，因为我是先弄得ssl证书后部署的群晖。所以申请ssl证书时域名所有权的鉴定只能靠注册时的e-mail地址

申请完ssl证书它会给你的注册的邮箱发送若干zip压缩包，这个就是给不同web服务器软件使用的证书，对于群晖，咱们要使用apache的证书，解压后一般来说有3个文件：扩展名是key的那个是私匙、文件名叫 ca-bundle.crt是中间证书 另外一个还是扩展名是crt但文件名是你注册的网址的那个就是你网站的证书，把这3个文件导入到群晖中，证书即安装成功。

这里有一个问题，不知是不是群晖的软件bug，如果导入了新证书但是不删除原群晖证书，通过ftps访问时使用的还是原来群晖的证书，哪怕是将新证书设置为默认证书。

证书导入后通过域名访问，小锁已经变成绿色的了。

最后看一下有没有开启多余的服务，至此群晖软件配置完毕。

网络/安全部署

首先放个拓扑图

恩～首先原来租机房的上家公司有俩网神的防火墙不要了，正好可以利用上

大致查了一下防火墙的型号，应该是2011-2012年的产品，有点老，测试了一下nat和防火墙功能，能跑满百兆，拆开清了一下灰，这俩防火墙都是x86的，也就是说万一原系统不好用还能装ros

当时弄这俩墙的时候非常不顺利，管理界面怎么进不去，手册、资料也非常不好找，而且网神貌似被360收购了。后来才知道进管理界面要先装证书，然后才能进入。

就是这坑爹的证书

界面非常的土

配置好需要转发的端口

也不知道这种抗攻击好不好使

另一个防火墙以透明桥的方式部署只开放了5001和445端口，就算是黑客入侵了群晖也不能拿它当跳板继续入侵内网（理论上 ）

配置好防火墙实际部署又遇到了问题，根本不知道哪根线连着外网，哪根线连着歌华的交换机

和后期大姐姐在哪寻了半天线，才找对

寻线器_淘宝搜索s.taobao.com去看看

部署完毕，旁边就是之前开箱的dell t330

使用感受

首先，web端支持超大文件上传和直接拖拽上传文件/文件夹，这两点优势明显，我直接通过web端的file station 上传54g的超大文件，没有任何报错。不过通过web端上传相对于千兆网的传输速度还是有点慢，不知是软件优化的问题还是开启https加密后开销导致的，当然对于只有百兆外网带宽，这个速度已经完全满足了。

在局域网通过web上传的速度稳定在35-40Mb/s

通过smb共享传输可以轻松达到100Mb/s

联通百兆带宽通过外网从群晖下载速度，基本可以跑满百兆。

ftps内网传输速度

可以像百度云那样直接分享文件

也可以创建文件请求，这样需要临时上传文集就不需要创建账号设置权限了，光是这个功能，就节省了大量的时间

同时可以挂载cifs（smb）共享文件，在外边如果突然要看内网共享的文件，也非常方便。

总结

通过以上折腾，总算满足了客（shang）户（di）们的需求，总的来说此设备我很满意 ，不过缺点还是有的，群晖没有桌面端的file station客户端，真希望有一个，这样就能断点续传了。这个小玩意温度有点高啊，在20度恒温机房这货cpu能有40度上下，另外好像群晖商用产品全部都不是ecc内存，这点有点不爽。

最后问驻军个事

我这有个网御星云的防火墙，没找到任何资料，谁有相关的配置手册，方便的话能不能私信一下，完～