使用 QNAP Enterprise Storage ES NAS 建立 WORM 共用資料夾 - Windows
WORM 總覽
WORM (單寫多讀) 功能是用來避免保存資料被變更的選項。啟用此功能後,該共用資料夾的資料只能寫入,無法被刪除或修改,確保存檔的完整性。
隨著對資訊環境的法規日趨嚴謹,目前已經有許多國家要求政府機關、金融機構、醫療體系嚴格遵守資料存檔法規,這就帶來了對注重法規符合性的內容不可竄改的存儲系統的需求,也正是WORM這項功能得以發展的原因。
舉凡圖檔、合約、財報、電子郵件、員工資訊、或組織中的重要文件,都是一旦完成儲存就不能再進行任何修改。在某些專業領域中,需要大量分析數據的計量學、天文學等等,要持續不斷地記錄巨量的即時資料。因此得使用WORM技術來保護這些紀錄,讓它們不會被覆寫並可保存作為日後的參考使用。
QNAP ES Series NAS為符合企業組織整合式儲存安全需求,也加入WORM功能,協助資訊人員保護組織的重要資料,也能帶給企業組織實質的效益,避免觸犯相關資訊法令的風險。
建立具有 WORM 功能的共用資料夾
系統架構
| 設備 | 說明 |
|---|---|
| 儲存裝置 | QNAP ES Series NAS (系統版本 QES 1.1.3) |
| 伺服器 | 安裝 VMware ESXi 6.0 |
| 虛擬機器 | 安裝 Windows Server 2012 R2,用以掛載 NFS 共用資料夾 |
| IP 設定 | 因為 ESXi 主機與 NAS 中的 NFS 伺服器彼此是以 IP 位置連線與溝通,建議 ESXi 主機與 NAS 伺服器雙方都設定為固定IP,以保持連線穩固性。 |
伺服器的角色和網路設定清單
| 伺服器網路設定 | ||
|---|---|---|
| 角色 | IP | 說明 |
| ESXi 伺服器 A | 192.168.2.60 | VMware ESXi 主機 |
| 資料網路 | 1.1.1.60 | ESXi 主機的 10G 網路連接埠 |
| 虛擬機 | 192.168.2.105 | Windows Server 2012 R2 |
| 儲存設備網路設定 | ||
|---|---|---|
| 設定 | 值 | 說明 |
| SCA Management IP | 192.168.2.50 | 控制器A的管理IP |
| SCA Ethernet1 IP | 1.1.1.9 | 控制器A的資料埠1 IP |
| SCA Ethernet2 IP | 1.1.2.9 | 控制器A的資料埠2 IP |
| SCB Management IP | 192.168.2.51 | 控制器B的管理IP |
| SCB Ethernet1 IP | 1.1.1.10 | 控制器B的資料埠1 IP |
| SCB Ethernet2 IP | 1.1.2.10 | 控制器B的資料埠2 IP |
| SCA 的集區 | Pool1 | 控制器 A 的 RAID6 集區 |
在現有儲存池中建立 WORM 共用資料夾
在您建立具有 WORM 功能的共用資料夾之前,必須先完成以下步驟。請參閱以下連結來完成相關流程。
- 新增伺服器至 QNAP ES Series NAS 的允許清單中
- 建立 RAID 和儲存池
連結:使用 QNAP 企業級 ES NAS 透過 NFS 設定 VMware ESXi 資料存放區
步驟 1:登入 QES 後,按一下[共用資料夾]。
步驟 2:前往[儲存空間],按一下[建立]>[新增共用資料夾]。
步驟 3:輸入所要的 WORM 資料夾名稱。在[儲存空間設定]中設定 WORM 儲存容量限制,並根據不同的應用情況選擇其他選項。如果沒有特殊需求,您可以選擇預設值。
步驟 4:尋找[WORM 設定]並按一下[編輯]。
步驟 5:啟用[WORM]並在下拉選單中選取 WORM 資料夾類型。
備註:
WORM 資料夾類型:
- 企業等級:資料夾只能寫入,不能刪除、修改或還原。您可以透過 QES 或 CLI 命令移除共用資料夾。
- 法規等級:資料夾只能寫入,不能刪除、修改或還原。若要移除資料夾,您必須使儲存池離線並加以移除。
步驟 6:設定「鎖定延遲」後,啟用此選項時,在鎖定延遲期間內,仍可修改新增到資料夾中的檔案。超過這段時間後,檔案會自動鎖定而無法修改。
如果停用「鎖定延遲」,檔案將無法自動設為 WORM 類型,此時需要手動將檔案屬性修改為「唯讀」。
步驟 7:設定 WORM 資料夾的保留期間。在此例中,期間設為 1 天,這意味著 WORM 限制只能在 1 天後移除。設好保留期間後,按一下[套用]以建立 WORM 資料夾。
WORM 資料夾會出現在共用資料夾清單中。
步驟 8:選擇 WORM 資料夾並點選[管理]。
備註:如果 WORM 類型設為「法規等級」,則會停用移除選項(在「動作」中)。
WORM 資料夾已建立並可供使用。
QNAP ES 系列 NAS WORM 共用資料夾功能
QNAP WORM 架構
QNAP WORM 在共用資料夾中啟用後,任何在這個資料夾的檔案都可以設為「Immutable」或「Append Only」狀態。兩者差別如下表:
| 說明 | |
|---|---|
| Append Only | 可以新增資料,但無法修改、刪除、重新命名。 |
| Immutable | 不可新增資料、修改、刪除、重新命名。 |
QNAP WORM 觸發條件
| 說明 | |
|---|---|
| Append Only | 在 Windows 系統中,檔案為空,將檔案屬性設為 Read-only,此檔案則為「Append Only」狀態。 |
| Immutable | 在 Windows 系統中,檔案中已有資料,將檔案屬性設為 Read-only,此檔案為「Immutable」狀態。 |
QNAP WORM 權限
下列為 QNAP WORM 的權限說明
WORM 狀態類似於 ACL 中被拒絕的權限,但有一些差異,明顯的區別如下
- 若資料夾進入 WORM 狀態,即使作業系統的使用者為最高權限管理者 (“administrator” or “root”),依然無法改變 WORM 資料夾中的檔案脫離 WORM 狀態。
- 如果目錄中的子檔案 (Child) 觸發 WORM 狀態,則上層目錄則無法進行改名及刪除,依此類推任一階層的目錄只要有以上情形上層目錄無法改名及刪除。
- WORM 資料夾保持時間過期時,將自動授予「移除權限 (remove privilege)」和「刪除子權限 (delete child privilege)」。
詳細內容請參照下表:
| Write data (rename child) | Append data (add child) | Delete (delete folder, delete child) | Rename | Rename parent | |
|---|---|---|---|---|---|
| NONE | O | O | O | O | O |
| AppendOnly | X | O | X, (WORM 到期為 O) | X | X |
| Immutable | X | X | X, (WORM 到期為 O) | X | X |
驗證 WORM 共用資料夾
驗證 WORM Append Only 狀態
建立 WORM Append Only 檔案
步驟 1:將 WORM 資料夾掛載至 Windows PC
於 Windows 作業系統中開啟任一資料夾,輸入 WORM 資料夾的 Shared Path 「\\1.1.1.9\WORM」,並輸入 ES NAS 的使用者名稱及密碼。
步驟 2:進入此目錄,並建立一個空的記事本檔案檔,命名為「AppendOnly」。
步驟 3:在檔案點滑鼠右鍵,選擇「Properties」並勾選 Read-only,此檔案即進入 Append Only 狀態。
備註:唯讀存取權會影響資料夾下的檔案,不包含資料夾本身。您可以透過 QES 對資料夾啟用 WORM 設定。
參考資料:Microsoft,資料夾唯讀行為。
驗證 Append Only 檔案 - 刪減資料
步驟 1:在「Append Only」檔案寫入數字「12345」,儲存檔案後關閉
步驟 2:再次打開「Append Only」檔案,刪除數字「45」,儲存檔案後關閉
步驟 3:再次打開「Append Only」檔案,可以發現檔案回到一開始儲存的狀態,數字「12345」顯示在記事本上。印證 Append Only 狀態無法刪減資料。
驗證 Append Only 檔案 - 寫入資料
步驟 1:在「Append Only」檔案數字「12345」之後寫入「6789」,儲存檔案後關閉
步驟 2:打開「Append Only」檔案,顯示「123456789」,印證 Append Only 狀態可以寫入資料。
驗證 Append Only 檔案 - 刪除檔案
步驟 1:在「Append Only」檔案點滑鼠右鍵,選擇「Delete」,再按「Yes」確認刪除。
步驟 2:我們可以看到資料夾目前沒有「Append Only」檔案。
步驟 3:點選右上角的重新整理按鈕,「AppendOnly」檔案回復,印證 Applend Only 狀態下是無法刪除檔案的。
驗證 Append Only 檔案 - 重新命名
步驟 1:在「Append Only」檔案點滑鼠右鍵並選擇「Rename」。
步驟 2:將檔案名稱改為「QNAP」後按下Enter,在Append Only狀態下無法修改檔名。會出現警告視窗「File Access Denied – Append Only」,表示我們沒有權限修改檔案名稱,印證檔案在 Append Only 狀態下無法修改檔名。
驗證 WORM Immutable 狀態
建立 WORM Immutable 檔案
步驟 1:於 WORM 資料夾中,建立一個空記事本,命名為「Immutable」,開啟此檔案,輸入「12345」,之後儲存檔案。
步驟 2:在檔案點滑鼠右鍵,選擇「Properties」並勾選 Read-only,此檔案即進入 Immutable 狀態。
備註:在 Immutable 與 Append Only 檔案觸發模式下,
開新檔案時,檔案無任何資料存檔後,勾選唯讀 -> Append Only
開新檔案時,檔案有編輯過資料存檔後,勾選唯讀 -> Immutable
形成 Immutable 檔案必須在編輯存檔後勾選唯讀,檔案才會觸發 Immutable 狀態。
Append Only 狀態必須要在檔案是「空白」時勾選 Read-Only 才會觸發 Append Only
驗證 Immutable 檔案 - 刪減/寫入資料
步驟 1:打開「Immutable」檔案,刪除數字「45」,儲存檔案
步驟 2:跳出另存新檔視窗,您必須使用其他檔名來儲存此檔案。
步驟 3:另存新檔,檔名改為「Immutable_Modify」,成功儲存檔案。
步驟 4:依照上列步驟,將刪減數字改為寫入數字,仍無法覆寫原檔案,僅能另存新檔,印證檔案在 Immutable 狀態下無法刪減/寫入資料,僅能另存新檔,達到保護原始檔案的功效。
備註:Immutable 狀態下完全無法修改檔案。
驗證 Immutable 檔案 - 刪除檔案
步驟 1:在「Immutable」檔案點滑鼠右鍵,選擇「Delete」,再按「Yes」確認刪除。
步驟 2:我們可以看到資料夾目前沒有「Immutable」檔案。
步驟 3:點選右上角的重新整理按鈕,「Immutable」檔案回復,印證 Immutable 狀態下是無法刪除檔案的。
驗證 Immutable 檔案 - 重新命名
步驟 1:在「Immutable」檔案點滑鼠右鍵並選擇「Rename」。
步驟 2:嘗試更改檔名後,會出現「File Access Denied」錯誤,表示我們沒有權限修改檔案名稱,印證檔案在 Immutable 狀態下無法修改檔名。
