Migratoin DS212+ auf neue DS1618+ - Frage VM und Migrationsmethode

[plawe]

Hallo,

ich habe eine DS212+ mit Expansion DX213 seit vielen Jahren im Einsatz. Die DS sichert laufend auf eine DS112J und remote auf eine DS215j. Soweit alles gut.
Die Systeme hängen NICHT im Internet bis auf die DS112J, die noch die Photostation für extern (Familie) hostet.

Nun ist die DS212+ etwas in die Jahre gekommen, vor allem auch voll und einige Dienste werden gar nicht mehr angeboten. Ich habe mich nun nach langer Recherche für eine nagelneue DS1618+ entschlossen, die ich mit 2 neuen 6 TB Platten gekauft habe. Die Migration oder alternativ ein Neu-Aufsetzen mit Datenkopie bin ich gerade beim Überlegen.

Daher nun zwei Fragen nach Best-Practice oder anderen Meinungen:

a) Migrationsmethode
Ich kenne die Synology-Migrationsmethode, die Platten der DS212+ in die neue Hardware zu migrieren. Dabei bräuchte ich keine Daten kopieren, die neuen Platten kann ich für den Neuaufbau eines Volumes verwenden.

Andererseits habe ich die DS212+ brav seit fast 7 Jahren im Einsatz, immer wieder Updates und Packeges rauf/runter. Da muss denke ich zwangsläuftig auch einiges an Altmüll auf den Platten im Betriebssytem sein. Daher denke ich an ein Neusetup der DS1618+, ist zwar deutlich mehr Arbeit aber ein sauberes System dann.

Wie ist da eure Erfahrung/Meinung?


b) Security/Cloud und Virtuelle Maschine
Mit der neuen DS1618+ habe ich das erste Mal die Möglichkeit zu virtualisieren. Auf der oben erwähnten kleinen DS112j laufen bis jetzt ein paar Dienste wie Photostation und Remote Folder für externen Zugriff wenn ich unterwegs bin.

Wenn mein Netzwerk VLAN unterstützt: ich würde gerne eine VM aufsetzen, und dort dann die externen Dienste betreiben (Photostation). Auf die zentrale DSM-Instanz gibt es keinerlei Zugang extern, da meine Primärdaten drauf sind. Die VM würde evtl. neu die Mailstation als Mailarchiv halten (Ablöse der .PST-Outlook-Files). Dann könnte ich die DS112J in Rente schicken, und die jetzige DS212+ rein als Backupplattenplatz verwenden - die würde ich sonst ergänzend wieder für die Photostation extern aufsetzen, ist halt schon ein altes System.

Macht eine Zusammenfassung auf die neue DS und Trennung der Dienste in VM's aus Netzwerkkonfigurations-Sicht und Security ausreichend Sinn?


Bin für jede Meinung und Erfahrung dankbar, vor ich hier loslege.

Vielen Dank
Werner

 

[dil88]

Zu a) Es gibt noch einen wichtigen anderen Grund, auf eine Migration zu verzichten. Das migrierte Volume wäre auf eine maximale Größe von 16TB beschränkt, während ein neu auf der 1618+ erstelltes Volume bis 108TB groß sein könnte.

 

[mexx81]

Hallo Werner,

ich beschränke mich mal auf die Frage b und kann sagen ja. Virtualisierungsumgebungen sind unteranderen für solche Trennungen der Dienste vorgesehen. Du kannst Dir eine vDSM machen, die zum Beispiel Mail, Kontakte und Kalender macht. Eine vDSM die Dateidienste, Drive, Chat, PhotoStation/Moments, also alles was Collaboration von Synology ist und eine vDSM für Active Directory und DNS. Nur als Beispiel. Alle VMs bekommen einen speziellen vSwitch über den VMM inkl. einen VLAN Tag. Der physische Adapter der VMM Maschine bekommt dann trunked diese VLANs getaggt. Also aus Netzwerkkonfigurationssicht sinnvoll. Sofern Du unterschiedliche Netze nimmst. Aus Securitysicht ist es nur dann sinnvoll, wenn Deine Firewall ebenfalls diese V-Lans kennt und Regeln für diese Netze aufbauen kann. Regeln die min. sagen, welches Netz (LAN oder WAN) auf welchen Port und welche IP zugreifen darf und im aller besten Fall ist eine NG Firewall, die pro Regel auch noch Securitypolicies ermöglicht. Es gibt kostenlose VM Firewalls wie pfSense die sowas können. Erweiterst Du Deine Umgebung noch um eine weitere Syno oder zwei und hast eine Pro Lizenz, lassen sich die VMs noch als HA definieren und der Snapshot, was eine Sicherung der VM ist, replizieren. Damit hast Du auch noch eine Redundanz. Aber auch ohne macht es Sinn, denn wenn Du mal auf ein neues System migrierst, kannst Du einfach die VMs umziehen.
Viel Erfolg!

 

[dil88]

Braucht man für jede vDSM-Instanz eine Lizenz? Und ist eine pro Gerät inklusive?

 

[mexx81]

Du hast pro VMM Host eine vDSM Lizenz. Möchtest Du mehr vDSMs betrieben, musst du vDSM Lizenzen kaufen. Möchtest Du ein VMM Cluster, also mehrere VMM Hosts, die sich gegenseitig Redundanzen bilden, einsetzen, benötigst Du eine VMM Lizenz. Im besten Fall eine VMM Pro Lizenz. Details findest Du hier: https://www.synology.com/de-de/dsm/feature/virtual_machine_manager

 

[plawe]

Hallo dil88,
vielen Dank für die Info - das ist mir neu. Abhängig wodurch - ich hätte natürlich auch vor (habe ich noch nicht erwähnt) auf das BTRFS Dateisystem zu wechseln, das doch eine neue Generation ist. Hängt das evtl. damit zusammen?

 

[plawe]

Hallo Werner,

ich beschränke mich mal auf die Frage b und kann sagen ja. Virtualisierungsumgebungen sind unteranderen für solche Trennungen der Dienste vorgesehen. Du kannst Dir eine vDSM machen, die zum Beispiel Mail, Kontakte und Kalender macht. Eine vDSM die Dateidienste, Drive, Chat, PhotoStation/Moments, also alles was Collaboration von Synology ist und eine vDSM für Active Directory und DNS. Nur als Beispiel. Alle VMs bekommen einen speziellen vSwitch über den VMM inkl. einen VLAN Tag. Der physische Adapter der VMM Maschine bekommt dann trunked diese VLANs getaggt. Also aus Netzwerkkonfigurationssicht sinnvoll. Sofern Du unterschiedliche Netze nimmst. Aus Securitysicht ist es nur dann sinnvoll, wenn Deine Firewall ebenfalls diese V-Lans kennt und Regeln für diese Netze aufbauen kann. Regeln die min. sagen, welches Netz (LAN oder WAN) auf welchen Port und welche IP zugreifen darf und im aller besten Fall ist eine NG Firewall, die pro Regel auch noch Securitypolicies ermöglicht. Es gibt kostenlose VM Firewalls wie pfSense die sowas können. Erweiterst Du Deine Umgebung noch um eine weitere Syno oder zwei und hast eine Pro Lizenz, lassen sich die VMs noch als HA definieren und der Snapshot, was eine Sicherung der VM ist, replizieren. Damit hast Du auch noch eine Redundanz. Aber auch ohne macht es Sinn, denn wenn Du mal auf ein neues System migrierst, kannst Du einfach die VMs umziehen.
Viel Erfolg!

Hallo mexx81,

vielen Dank für dein Feedback, dann bin ich ja gar nicht so falsch unterwegs. Ich würde dann die Dienste, die mit Collaboration (Photostation, Mail, usw) in eine VM packen. Meine zentralen Dateidienste, dann in die primäre Maschine.

Security-seitig würde ich mit UBIQUITY Routern, Gateways etc. arbeiten künftig (bisher Draytek) und dann durchgängiges VLAN-Tagging starten.

Eine Frage noch, die auch wegen der Lizenz gestellt wurde. Ist das korrekt:
- es läuft auf der neuen DS1618+ jedenfalls eine DSM-Instanz (primär)
- auf der kann ich noch eine VM installieren
d.h. läuft die erste Instanz nicht, läuft auch die VM nicht.

Oder sind beide Instanzen eigentlich virtuelle Maschinen auf einem Hypervisor und können getrennt laufen und gestartet/gestoppt werden? Habe das bei Synology noch nicht nachgelesen, werde ich die Tage jetzt machen. Nur wenn vielleicht jemand kurz die Info hat, wäre super.

Danke!

 

[dil88]

Nein, das hat nichts mit dem Filesystem zu tun, sondern damit, ob ein 32bit- oder 64bit-Kernel verwendet wird. Bei der 212+ ist es ein 32bit System, die 1618+ arbeitet mit 64bit.

 

[plawe]

Danke

 

[plawe]

Nein, das hat nichts mit dem Filesystem zu tun, sondern damit, ob ein 32bit- oder 64bit-Kernel verwendet wird. Bei der 212+ ist es ein 32bit System, die 1618+ arbeitet mit 64bit.

Hallo

jetzt müsste ich nochmals mit einer anderen Idee nachfragen. Das System DS1618+ ist heute geliefert worden
Damit ich mit Konfigurationsaufwand beim Anlegen von allen Einstellungen spare, könnte ich nicht auch so vorgehen:
- Start DS1618+ neu mit neuen Platten, leer
- Installation DSM 6.2
- Installation Pakete wie auf DS212+
- Rückspeichern Konfiguration DS212+

Alle Systeme haben den gleichen DSM Stand und sind aktuell, müsste doch eigentlich gehen. Und wenn nur ein Teil angelegt wird, spart mir das eine Menge Tipparbeit.
Wird aber bei dem Rücksichern der Konfiguration auch wieder der Kernel auf 32 Bit getauscht?

Danke für jeden Input.

 

[dil88]

Nein, die Konfiguration hat nichts mit dem Kernel zu tun. Da gehts wirklich nur um die Einstellungen im DSM. Die solltest Du bei gleicher (oder ähnlicher) DSM-Version problemlos einspielen können. Würde ich genauso machen. Viel Erfolg bei der Installation und viel Freude mit der 1618+. Der Sprung ist groß.

 

[plawe]

Nein, die Konfiguration hat nichts mit dem Kernel zu tun. Da gehts wirklich nur um die Einstellungen im DSM. Die solltest Du bei gleicher (oder ähnlicher) DSM-Version problemlos einspielen können. Würde ich genauso machen. Viel Erfolg bei der Installation und viel Freude mit der 1618+. Der Sprung ist groß.

Danke für das rasche Feedback, dann mache ich das mal genau so.
Bin ja schon brennend gespannt auf die neue DS, habe echt lang überlegt ob ich mir die gönnen soll!

 

[mexx81]

Wie wird denn deine Firewalllösung aussehen? Ich habe mal ein Vögelten zwitschern hören, dass die Syno-Router-Firewall irgendwann auch mal Regeln anhand von Netzen bzw. VLAN-Tags setzen kann. Das fand ich toll, da ich den ohnehin im Einsatz habe. Mit einer VM Instanz von pfSense hab ich mal rumgespielt, aber den Knick im Kopf bekomme ich nicht hin, wie ich eine virtuelle Firewall korrekt einsetze. Ne Hardware-FW wäre toll, aber die kosten viel. Was wirst Du nehmen?

 

[plawe]

Ich habe generell Kabelanschluss mit fixer IP seit einigen Monaten. Momentan habe ich noch einen Draytek Router (auch aus älteren Zeiten), der hier nicht viel bietet. Bis dato habe ich deshalb auch eine DS112J einfach mit Port-Forwarding und QuickConnect von Synology freigeschalten. Das möchte ich nun auch auf solide Füße stellen.

Für den Bereich Router-Internet/Firewall möchte ich ein eigenes System und das nicht auf der Synology. Da ich evtl. noch mehr hinter der FW installiere, bin ich da etwas unabhängiger und kann mich auch einwählen per VPN von extern, wenn die DS evtl. Probleme bereitet (hatte ich schon mal). Da möchte ich auf eine neue Stromleiste zugreifen, die ich im IP im Netz ein-/ausschalten kann und damit einen Hardware-Reset machen kann per Strom, wenn gar nichts mehr geht (war schon 2x so und eine Bekannte hat ausgeholfen, da ich im Ausland war und hat den Strom gezogen - sollte zwar nicht so sein, aber man weiß ja nie).

Zuletzt habe ich bei meinen Eltern eine kleine DS, auf dich ich Offsite sichere. Hier hatte ich früher die DS per VPN verbunden, war klaglos. Inzwischen aber bin ich auf VPN von Router zu Router umgestiegen, da ich mehr verbinde.

Also möchte ich von Ubiquity den das Unify Gateway Pro einsetzen. Kostet zwar mehr als der Draytek, aber die Optionen sollte da ausreichend professionell sein. Wobei es von Draytek auch tolle Geräte gibt, etwas günstiger. Nur gefällt mir hier weniger, dass sehr wenig an der Firmware gemacht wird.
https://www.ubnt.com/unifi-routing/unifi-security-gateway-pro-4/

Am entfernten Standort nehme ich den "kleinen Bruder", der tut's eigentlich auch aber ich möchte doch hier bei mir mal richtig alle Services zu mir holen.