Elección de software para NAS

En este artículo, Astra Coin Solutions le mostrará cómo elegir el software NAS.

TrueNAS en ambas variantes se destaca por su compatibilidad total con todas las funciones de ZFS, tanto el sistema de archivos en sí como el sistema de administración de discos. Esto incluye la creación y administración de todos los niveles de almacenamiento (vdev, zpool, conjunto de datos), cifrado, instantáneas y su replicación, y deduplicación de datos en tiempo real. TrueNAS admite otros sistemas de archivos en la medida, por ejemplo, para importar datos desde una unidad formateada en dicho sistema de archivos.

Openmediavault admite de forma predeterminada los mismos sistemas de archivos compatibles con Debian Linux. Por defecto, ext4 se utilizará para almacenar datos. Lista completa de archivos compatibles con el SIS .

Los sistemas de archivos admitidos por OMV incluyen formalmente BTRFS y ZFS, pero no espere mucho de ellos: los discos BTRFS se administran desde la línea de comandos y no todas las funciones son compatibles con ZFS. En particular, las instantáneas y su replicación no son compatibles con ningún sistema de archivos. Puede crear instantáneas manualmente desde la línea de comandos (después de todo, OMV se ejecuta en la parte superior de una distribución Debian completa) o incluso a través de la interfaz web como Tareas programadas, pero esto es aún más complicado que una solución llave en mano. Por lo tanto, si necesita capacidades de sistema de archivos relacionadas con la creación y replicación de instantáneas, busque TrueNAS. Contenido

1. Cifrado de datos
2. Instantáneas, cifrado y replicación
3. Actualizaciones y parches de seguridad
4. Estabilidad del trabajo
5. Rendimiento
6. Virtualización y extensiones
7. Conclusión

Cifrado de datos

No hay cifrado integrado en openmediavault , pero hay un complemento openmediavault-luksencryption .

TrueNAS admite varios estándares de cifrado a la vez.

El primero es SED (Self Encrypting Drive), cifrado de hardware disponible en algunos modelos de unidades. Descrito en detalle aquí .

En segundo lugar, está el cifrado GELI, que es el estándar en FreeBSD. TrueNAS 12 (ambos) ha reemplazado este tipo de cifrado por otro, pero los volúmenes cifrados creados anteriormente aún están montados y son funcionales.

Por último, el nuevo estándar de cifrado en TrueNAS: cifrado nativo ZFS, que se detalla en el artículo Ars Technica Una guía de inicio rápido para el cifrado nativo OpenZFS .

Dejando de lado los detalles técnicos (y son bastante accesibles), el cifrado ZFS nativo tiene una serie de ventajas sobre LUKS y GELI, lo que le permite ejecutar la mayoría, si no todos los comandos zfs y zpool en discos cifrados, incluso si la clave de cifrado no se especifica o desconocido. Esto incluye operaciones de servicio para verificar la integridad de los datos, instantáneas (instantáneas) y su replicación (escribí sobre qué es y por qué se necesita aquí) y muchos otros comandos. Si el disco está encriptado con LUKS, para realizar dichas operaciones, primero deberá ingresar la clave de encriptación.

Este tipo de cifrado también tiene sus inconvenientes, y está en el ámbito de la seguridad. Primero, sin ingresar la clave de cifrado, los nombres y tamaños del sistema de archivos (y otra información disponible a través de los comandos zfs y zpool) estarán disponibles. Sin embargo, los nombres y tamaños de los archivos cifrados no serán visibles, así como otros metadatos que no se pueden obtener mediante los comandos zfs y zpool.

Otro tipo de datos que no está protegido por el cifrado ZFS nativo son las tablas de deduplicación. Más precisamente, los bloques de datos individuales todavía están cifrados, pero el análisis de las tablas de deduplicación puede revelar qué bloques están duplicados en el disco. El valor de esta información para un atacante es cuestionable, por lo que este aspecto del cifrado ZFS nativo no se considera crítico desde el punto de vista de la seguridad. Sin embargo, le recomendamos que desactive la deduplicación en línea si cifra datos críticos.

Por último, existe una vulnerabilidad CRIME (filtración de información de relación de compresión fácil) teórica más que práctica que se puede implementar en un escenario en el que los datos se comprimen antes de cifrarlos.

Instantáneas, cifrado y replicación

Escribí en detalle sobre las instantáneas y su replicación en el artículo “NAS en Ryzen. De qué es capaz Synology DS1621 + y por qué necesita un procesador potente «. En pocas palabras, las instantáneas son un método de copia de seguridad casi ideal, que le permite proteger los datos de varios ransomware y replicar solo los datos modificados (incluso si los datos están encriptados y no se ingresa la clave de encriptación). Además, el cambio de nombre masivo de archivos o carpetas solo sincronizará los nodos del sistema de archivos; por ejemplo, rsync comenzará a eliminar y copiar archivos renombrados.

ZFS admite instantáneas y TrueNAS proporciona un mecanismo conveniente para crear y replicar instantáneas.

Openmediavault no admite instantáneas en el nivel de la interfaz web. Puede crearlos manualmente desde la línea de comandos o utilizar la sección Tareas programadas de la interfaz web para ello. La replicación es más complicada. Si cifró los datos con el complemento LUKS, para crear una instantánea tendrá que montar la partición cifrada. En cualquier caso, si necesita instantáneas y replicación, le recomiendo mirar hacia TrueNAS. Pero si se planea almacenar las copias de seguridad en unidades USB externas, openmediavault ofrece una gestión integrada de dichas copias de seguridad, mientras que TrueNAS no.

Por cierto, TrueNAS también tiene rsync.

Actualizaciones y parches de seguridad

¿Por qué y por qué son importantes las actualizaciones periódicas del NAS? Al menos para no repetir la situación con WD MyBook Live, del que los ciberdelincuentes borraron datos de forma masiva. Hay otros casos conocidos, por ejemplo, múltiples vulnerabilidades de QNAP.

Las actualizaciones de TrueNAS son manejadas por el fabricante, iXSystems. Las actualizaciones del sistema (monolíticas) se publican con suficiente regularidad; hay soporte regular para actualizaciones importantes (por ejemplo, la transición de FreeNAS 11 a TrueNAS Core 12).

Es posible la migración de TrueNAS Core a TrueNAS Scale; los datos se conservan, pero la configuración del sistema se pierde. Con la transición en la dirección opuesta, pueden surgir dificultades. En el momento en que probé esta función, TrueNAS Scale estaba usando una versión más reciente de OpenZFS. Después de actualizar la versión de los metadatos de ZFS (no era necesario hacer esto), ya no era posible utilizar el mismo conjunto de datos en TrueNAS Core. Entonces, si desea probar TrueNAS Scale con la capacidad de degradar a TrueNAS Core, simplemente no actualice los metadatos de ZFS.

Openmediavault es actualizado por … muchas personas. Las actualizaciones las proporciona el desarrollador de OMV. Pero las actualizaciones de los paquetes Debian que ejecutan el sistema son modulares y son mantenidas por la comunidad de desarrolladores: si se encuentra una vulnerabilidad en un paquete, lo más probable es que se elimine antes de que las manos de los atacantes lleguen a su dispositivo.

Al mismo tiempo, la versión de Debian no se actualizará: OMV 4.x solo puede funcionar en Debian 9 y OMV 5.x, solo en Debian 10. Sin embargo, desde el punto de vista de la seguridad, no hay mucha diferencia: tanto Debian 9, e incluso más, Debian 10 recibirá actualizaciones modulares durante mucho tiempo. Por cierto, para instalar (o al actualizar) algunos paquetes, es posible que deba instalar compilaciones más recientes de dependencias de repositorios alternativos.

Un serio inconveniente de OMV es la falta de una forma regular de instalar actualizaciones importantes. No es posible cambiar de OMV 4 a OMV 5 de forma regular (en este caso, los conjuntos OMV 4 no se actualizarán). Hay instrucciones escritas por el usuario que pueden funcionar o no (no funcionaron para mí). En consecuencia, si está interesado en utilizar ensamblajes OMV nuevos, prepárese para el trabajo anual difícil y arriesgado.

Así es como la gente describe sus impresiones de la actualización de OMV de la versión 4 a la 5 ( original en German-com ):

“El principal problema y la mayor desventaja de OMV es que no crea un ‘archivo de configuración genérico’ que se pueda usar simplemente para actualizar el sistema operativo. Esto significa que con cada actualización de OMV, debe:

comprobar complementos: compruebe si los complementos que todavía usa están disponibles después de la actualización (al pasar de la v4 a la v5, muchos complementos desaparecieron debido a la presencia de las imágenes de Docker correspondientes);
guardar configuraciones: tome capturas de pantalla o guarde el directorio «/ etc» de Clonezilla o una imagen de disco del sistema similar (y cópielas en una ubicación a la que tenga acceso incluso sin un NAS).
Mejor aún, simplemente tome un disco de repuesto e instale la nueva versión del sistema operativo en él. Los discos de datos, RAID y ZFS con una actualización de este tipo generalmente se reconocen y montan automáticamente (nota: SnapRAID y / o mergerfs no se detectan automáticamente) «.

Otro inconveniente de OMV es precisamente la modularidad de las actualizaciones. Durante los seis meses de uso del NAS con OMV, me encontré dos veces con el hecho de que la actualización de un paquete afectaba la configuración de ciertos archivos de configuración y el dispositivo comenzaba a funcionar incorrectamente.

¿Quién es culpable? ¿Qué hacer?

Era posible rastrear qué archivo se cambió y de qué manera, pero no funcionó para identificar un paquete específico. Lo que nos lleva a la siguiente sección: la estabilidad de la operación y la complejidad de mantener el dispositivo en funcionamiento.

Estabilidad del trabajo

En un mundo ideal, un sistema una vez configurado funcionaría sin requerir ninguna intervención. Las actualizaciones se instalarán automáticamente y nunca causarán problemas. Desafortunadamente, la realidad está lejos de ser ideal: las actualizaciones periódicamente rompen algo, e incluso sin ellas, el dispositivo puede eventualmente requerir al menos una intervención preventiva.

En este contexto, TrueNAS Core resultó ser el menos problemático. El sistema ha sido depurado durante mucho tiempo, las actualizaciones (con la posible excepción de las principales, 11-12) no dan lugar a problemas. Una vez iniciada, una computadora basada en TrueNAS puede funcionar durante mucho tiempo sin requerir ninguna intervención.

TrueNAS Scale es una versión beta temprana en una nueva plataforma para desarrolladores. En consecuencia, nadie promete un trabajo estable (sin embargo, los usuarios del sistema no notan ningún problema notable).

Es posible que se requiera la intervención periódica de un administrador calificado para mantener operativo el NAS con openmediavault. Estos son los problemas mencionados anteriormente después de actualizar algunos paquetes, y cosas tan simples como la configuración predeterminada de rotación de registros, que puede provocar un desbordamiento de la partición y la imposibilidad de acceder al NAS de otra manera que no sea SSH … Sin embargo, esto último es relevante si ejecutas OMV con un pequeño software el volumen de la unidad, y el primero … tienes que vivir con él.

Conclusión: si necesita un trabajo estable sin la intervención del administrador, busque TrueNAS Core.

Rendimiento

No he hecho una comparación directa del rendimiento del sistema, pero puedo señalar que TrueNAS es un sistema notablemente más «pesado» en comparación con openmediavault. OMV arranca a la velocidad del rayo incluso en hardware muy débil (el tiempo de arranque en WD MyCloud Home es de unos 16 segundos después de girar el disco duro), mientras que TrueNAS arranca mucho más tiempo incluso en hardware potente.

Cuando se usa TrueNAS, muchas cosas pueden afectar la velocidad de lectura y escritura. Por ejemplo, habilitar la deduplicación en tiempo real reduce drásticamente la velocidad de escritura de datos, mientras que habilitar la compresión sobre la marcha en formatos de datos modernos es más perjudicial que beneficioso. La ayuda aquí puede ampliar la cantidad de RAM hasta 16 GB y más.

OMV es un sistema extremadamente sencillo que se ejecuta en cualquier hardware que Debian pueda ejecutar.

Virtualización y extensiones

Los tres sistemas admiten extensiones en forma de complementos escritos especialmente para el sistema respectivo. Openmediavault admite repositorios adicionales (por ejemplo, omv-extras).

Complementos en openmediavault

TrueNAS también tiene complementos, tanto oficiales como comunitarios.

Cada sistema tiene soporte para virtualización «ligera». En TrueNAS Core, es un sistema de cárceles , y TrueNAS Scale y OMV admiten Docker. Este último es quizás más interesante en términos de la variedad de imágenes disponibles.

Además, TrueNAS cuenta con virtualización completa en forma de máquinas virtuales, donde se puede instalar, por ejemplo … Windows.

Conclusión

Como resultado, los tres sistemas son de interés. Al mismo tiempo, la elección entre ellos puede ser bastante simple, basada principalmente en sus necesidades y el hardware disponible.

¿Desea construir un NAS en una computadora de placa única Raspberry Pi o similar? Openmediavault. ¿Instalar en WD MyCloud Home? Igualmente. ¿Ejecutar en una computadora débil con memoria limitada? También OMV. ¿Construye un NAS con una sola unidad o usa unidades externas a través de USB? Quizás OMV de nuevo.

¿Va a convertir una computadora vieja con 8GB o más de memoria en un NAS? TrueNAS será mucho más interesante: TrueNAS Core si la estabilidad es una prioridad, y TrueNAS Scale si desea experimentar o necesita compatibilidad con Docker.

¿Necesita cifrado, instantáneas, replicación? TrueNAS, sin opciones.

¿Qué pasa si todo lo que necesita es almacenamiento para su biblioteca multimedia o de videos, con adiciones raras pero acceso frecuente? Si la prioridad es la confiabilidad y el silencio del almacenamiento de datos, ¿no la velocidad? Quizás Unraid o SnapRAID le convengan, de lo que hablaremos la próxima vez.

Si necesita control en la nube, entonces TrueNAS con TrueCommand.

Astra Coin Solutions.