Umsetzung erstes NAS-Konzept - habe ich das Wichtigste bedacht? - 2x NAS, 100 TB HDD, 3-2-1-Prinzip

[Thakis]

Hallo zusammen,

ich möchte mir zum ersten Mal ein NAS zulegen und einen sauberen Backup-Prozess implementieren.
Ich hatte hierzu auch in anderen Foren Feedback eingeholt. Jedoch habe ich mein Konzept insofern geändert, dass ich nun voll auf Synology setze, weshalb ich gerne von euch erfahren möchte, ob ich alles wichtige an Hardware bedacht habe.
Ich möchte, auch um etwas den Geldbeutel zu schonen, das Konzept zeitlich getrennt in drei Schritte aufbauen.

Gerne könnt ihr die fünf Fragen im Bild beantworten oder generell eure Meinung dazu äußern.
Würde mich sehr darüber freuen

Spoiler: Text aus dem Bild

1. NAS:
   1. Anforderungen
      1. Das Konzept soll mir die Möglichkeit bieten, regelmäßige, automatische Backups von meinen Geräten im selben Netz zu speichern.
      2. Das Konzept soll mir die Möglichkeit bieten, regelmäßige, automatische Snapshots von meinem Pi und Minisforum im selben Netz zu speichern.
      3. Das Konzept soll mir die Möglichkeit bieten auch außerhalb des Netzwerkes auf meine Bilder zugreifen zu können, bspw. vom Smartphone aus.
      4. Das Konzept soll mir die Möglichkeit bieten, auf dem NAS liegende Bilder oder 5,3k Videomaterial in Lightroom, Photoshop und Davinci Resolve
         zu bearbeiten, sofern mein Mac oder PC an dem NAS angeschlossen ist.
      5. Das Konzept soll mir die Möglichkeit bieten, Backups auf ein außerhalb des Netzwerkes liegendes NAS oder Cloud abzulegen bzw. Backups
         von einem außerhalb des Netzwerkes liegendes Backup einzuspielen.
      6. Das Konzept muss die Möglichkeit bieten, Speicher für NextCloud, welches auf meinem Minisforum läuft, bereitzustellen.
      7. Das Konzept soll mir die Möglichkeit bieten, eine externe HDD anzuschließen und darauf verschlüsselte, inkrementelle Backups zu speichern.
      8. Das Konzept soll mir die Möglichkeit bieten, bei Familie und engen Freunden eine Verbindung einzurichten, damit diese ohne großen Aufwand
         und technischem Verständnis verschlüsselte Backups auf dem NAS zu hinterlegen. Die Verschlüsselung des Backups sollte am besten direkt
         auf ihren Geräten erfolgen. Die Betriebssysteme der Geräte sind iOS, MacOS, Android, Windows 10 und 11.
      9. Das außerhalb platzierte NAS soll sich zeitgesteuert ein- und ausschalten können, um nur aktiv zu sein, wenn es Backups vom Heim-NAS entgegennehmen soll.
      10. Das außerhalb platzierte NAS soll neben der Zeitsteuerung bpsw. auch über WOL aktivierbar sein, falls ich auf die Backups von diesem NAS zugreifen muss.
   2. Herausforderungen
      1. Die Platzierung des NAS ist von großer Bedeutung. Nahe am Arbeitsplatz würde eine kostengünstigere Thunderbold-Anbindung
         an Mac und PC begünstigen (NAS in der Verwendung als DAS). Dem gegenüber steht die Lautstärke des NAS, da das Arbeitszimmer gleichzeitig das Schlafzimmer darstellt.
         Bei einer größeren Streckenüberwindung, bspw. von der Abstellkammer aus müsste ggf. Cat7-Kabel und dafür ausgelegte Switches/Konverter
         zum Einsatz kommen. Das bedeutet zusätzliche Infrastruktur und Kosten, dafür keine zusätzliche Lautstärke im Schlafzimmer.
      2. Es muss nachweisbar sichergestellt werden, dass ich auf die Daten und Backups meiner Familie und Freunde keinen Zugriff habe.
   3. Ideen hinter dem Konzept
      1. Das DS923+ Plus als Haupt-NAS mit 32TB verfügbaren Speicher genutzt werden.
      2. Wenn beim DS923+ eine von drei Festplatten ausfällt, sind weiterhin alle Daten vorhanden.
      3. Als Backup für alle Daten auf dem DS923+ wird zum einen jede Nacht ein Backup auf ein sich extern befindliches NAS gespeichert (Raid 0/JBOD, somit 32TB verfügbar)
         und wöchentlich wird ein Backup auf eine bei mir daheim befindliche HDD (20TB verfügbarer Speicher) gespeichert.
      4. Das externe NAS ist über einen VPN-Tunnel mit meinem Netzwerk verbunden und ist nur aktiv, wenn entweder Backups darauf gespeichert werden oder wenn ich Backups von
         diesem NAS benötige.
      5. Familie und enge Freunde sollen einen Zugriff auf NextCloud erhalten, um dort ihre Backups abzulegen. NextCloud wird auf meinem Proxmox-Server betrieben. Als Speicher
         wird mein NAS verwendet. Alternativ können sie direkt ihre Backups auf meinem NAS ablegen.
      6. Um mit hoher Performance meine Bilder und Videodatein bearbeiten zu können, würde ich die Dateien, die auf den HDDs auf dem NAS liegen, auf die NVMes temporär kopieren
         und die 10Gbit-Verbindung ausnutzen. Nach erledigter Arbeit würden die Daten wieder zurückkopiert und von den NVMEs gelöscht werden.
      7. Um die Anfangskosten zu Beginn der Umsetzung zu verringern, wäre die Überlegung, auf das externe NAS vorerst zu verzichten. Ich müsste dafür dann die externe HDD
         bei Freunden ablegen, um der 3-2-1-Backup-Regel gerecht zu werden.
   4. Offene Fragen
      1. Soll von extern direkt auf mein NAS zugegriffen werden können oder ist das NAS nur intern erreichbar und alle Daten, die von extern zugreifbar sein sollen, auf meinem Nextcloud,
         das ich auf meinem anderen Server betreibe, gehen?
      2. Mit welcher Software können Familie und Freunde auf ihren Geräten verschlüsselte Backups machen und anschließend auf meinem NAS direkt oder auf NextCloud ablegen?
      3. Welche NVMe sollte ich kaufen?
      4. Gibt es einen besseren Prozess als die Daten von den HDDs auf die NVMEs zu kopieren, von dort aus über das 10Gbit-Netzwerk am Mac oder PC zu arbeiten und anschließend
         wieder zurückzukopieren?
      5. Habe ich weitere Kosten vergessen?

Gruß Thakis

P.S. die 923+ bekomme ich vermutlich schon für 450 Euro.
P.S. zuerst war geplant, dass ich auf dem Haupt-NAS 4x8 TB in Raid5 nutze. Ich habe aber gesehen, dass 3x16 TB günstiger sind. Das hat zur Folge, dass meine Backup-HDD und Backup-NAS erst einmal nicht alles sichern können, wenn das Haupt-NAS voll ist. Das ist aber kein Problem, da ich zu Beginn erst einmal mit 10TB auf dem Haupt-NAS rechne.

 

[Thonav]

Gute Idee.
Dann erstelle ein SHR RAID mit 2 16TB Platten, füll die mit Daten und nutze die 3. 16TB zunächst als externe USB Platte.
Glaub mir - man muss nicht alles zig mal sichern…
Hol Dir gleich ECC Arbeitsspeicher und ggf. 2 Nvme Speicher für Docker, etc

 

[dil88]

Das Bild ist so klein, dass man leider nichts vernünftig erkennen kann. Vielleicht kannst Du es aufteilen oder die Textteile hier als Text posten.

 

[Thakis]

@Thonav
Kommt die 923+ nicht direkt mit 4GB ECC RAM?
Ich würde erst einmal schauen, wie weit ich damit komme.
Denn für Docker, VMs etc. habe ich einen separaten Server und einen kleinen PI4.

@dil88
Bild von der Hardware habe ich hinzugefügt.
Den Text habe ich im Anfangspost in einen Spoiler gepackt.
Danke für den Hinweis

 

[ctrlaltdelete]

Mehr RAM nutzt das DSM als Cache, also z.B. auch beim kopieren auf die DS. Und nutze das NVME Volume als RAID1 und installiere dort auch die Pakete und evtl. als Speicherplatz für Fotos.

Ich würde mit folgendem Setup starten:

RAM 32 GB: https://geizhals.de/kingston-server-premier-so-dimm-32gb-ksm26sed8-32mf-a2774071.html
NVME RAID1 BTRFS: 2 x https://geizhals.de/lexar-nm690-2tb-lnm790x002t-rnnn-a2956595.html
HDD SHR BTRFS: 2 x https://geizhals.de/seagate-exos-x-x16-16tb-st16000nm001g-a2068349.html

1. Zugriff per VPN
2. ABFB von Synology
3. s.o.
4. Direkt auf dem NVME RAID speichern
5. USV: https://geizhals.de/eaton-ellipse-eco-650-din-el650usbdin-a671183.html

 

[Kachelkaiser]

Es muss nachweisbar sichergestellt werden, dass ich auf die Daten und Backups meiner Familie und Freunde keinen Zugriff habe.

Das kannst du nicht. Du bist der Admin und darf auf der Schüssel ALLES. d.h. du siehst alle Daten und darfst sie auch anfassen und verändern, außer z.B. die Backups sind in verschlüsselten Containern.

Edit: GIGA ist ja eher ne ClickBait-Seite. Aber in diesem Artikel gibts ne Stelle, die ich besser nicht hätte sagen können

Ihr habt damit (Dem Admin-Konto) die höchsten Zugriffsrechte auf alle System-Programme und Komponenten und könnt das System so einrichten, warten oder auch zerstören, wie ihr möchtet.

 

[Thonav]

Naja - bei mir ist ein 16GB ECC Riegel verbaut - macht in Gänze 20GB und das sollte so schon erstmal reichen...

"...nachweisbar sichergestellt..." - das wirst Du denen kaum nachweisen können. Du bist Admin...

 

[dil88]

Als DAS kannst Du eine DiskStation nicht nutzen, da müsstest Du bei anderen Herstellern schauen. Die DS923+ könntest Du aber optional mit 10GbE ausstatten.

 

[Thakis]

Vielen Dank für euer Feedback

@Thonav

1. Bei meiner Idee mit Raid 5 war für mich weniger die Sicherheit an sich im Fokus, sondern nicht den Bedarf zu haben, ALLE Daten vom Backup auf das NAS wieder spielen zu müssen, sobald eine HDD defekt geht. Stattdessen kann ich die Defekte durch eine intakte austauschen und das NAS "repariert" sich von selbst.
   Bedeutet: Sobald die zwei Platten im SHR Raid voll sind, formatiere ich die Dritte, die ich bis dahin als Backup Platte genutzt habe, füge sie in den SHR-Verbund ein und hätte somit SHR mit drei Platten, was einem Raid 5 gleich kommt, oder? Und die Eingliederung in den Verbund wird vom System automatisch vorgenommen, sobald ich es DSM sage. Ohne, dass alles formartiert wird, etc., oder? (Ich lese mich dazu parallel selbst noch ein)
   Denn dann bräuchte ich die geplante 20TB Platte für 313 € auch erst später, und ich könnte somit bei den Initialkosten auch nochmals Geld sparen.
2. Bzgl. RAM: Bei 16 GB wäre ich ja bei ca. 45 Euro. Bei 90 Euro. Das würde ich mir bei den Initialkosten erst einmal sparen wollen. Ich beobachte aber aktiv die Auslastung und würde bei Bedarf direkt nachlegen. Entweder erst mit 16GB oder direkt einen 32GB Riegel.

@ctrlaltdelete

1. die NVMEs würde ich voraussichtlich erst holen, wenn ich im dritten Schritt ein 10Gbit-Netzwerk aufsetze. Bis dahin sehe ich den Mehrwert der NVMes als Storagepool nicht.
2. VPN würde bei mir gut klappen. Ich sehe es jedoch als Herausforderung, bspw. bei meinem Vater VPN einzurichten und ihm erklären zu müssen, wie das funktioniert.
   Er wäre bspw. einer, dem würde ich Veeam aufm Rechner installieren und schauen, dass er einmal in der Woche/Monat über Nacht den Laptop anlässt und von Geisterhand (durch einen zeitgesteuerten Backup Job in Veeam) die Daten bei mir als verschlüsseltes Backup liegen, ohne, dass er etwas machen muss.

@Kachelkaiser & @Thonav

1. Das heißt, so etwas wie verschlüsselte Tresore, die ein separates Passwort neben den Login-Credentials benötigen, gibt es nicht?
   Dann muss ich das eben so transparent auch mitteilen und ggf. auf die verschlüsselten Backups hinweisen.

@dil88

1. DAS ist ggf. der falsche Begriff, den ich nutze.
   Was ich machen möchte ist, die Synology direkt, OHNE Switch mit meinem Rechner oder mit meinem Mac zu verbinden. Beide sind nur per WLAN mit dem Router verbunden.
   Das sollte doch laut diesem Video funktionieren, oder?

 

[Thonav]

1 - ja, Du könntest die 20TB Platte später kaufen.
2 - ein 16er Riegel reicht. Ich meine ich hätte den für ca. 70€ gekauft. Der 4GB kann bleiben - daher hast Du dann 20GB Arbeitsspeicher

1 - Du kannst Volumes verschlüsseln oder auch einzelne Dateien. Es ist aber so wie in Deiner Firma - es wird immer einen Administrator geben - und der hat nunmal Zugriff auf alles. Wenn Deine Freunde Ihre Daten verschlüsseln und sie dann auf die DS legen, so kannst Du als Administrator diese zwar löschen, aber nicht einsehen.

Zum Thema Switch - PC und Notebook können mit dem Router per WLAN verbunden sein. Die DS wird per Netzwerkkabel an den Router angeschlossen.

 

[Thakis]

Mir geht's im dritten Schritt um den Aufbau einer 10Gbit-Verbindung.
Wenn ich es im Video richtig verstanden habe, würde es funktionieren, dass ich das NAS direkt per Cat7-Kabel und einem Ethernet-Thunderbolt-Adapter mit dem Mac/PC verbinde und darüber der 10Gbit-Austausch stattfindet und nicht über NAS->Router->Wlan-> Mac/PC mit nur 1Gbit.

Solange ich eben nicht den Mac/PC auch per Ethernet mit dem Router verbinde.

 

[Thonav]

Ich würde immer den Weg über einen 10Gbit Switch gehen. Natürlich ist das eine weitere Investition, aber Du kannst dann eben auch über andere Geräte die 10Gbit nutzen...

 

[Thakis]

@Thonav
Ich packs mal auf die optionale Liste, falls die direkte Verbindung nicht klappt wie gewollt, denn zum einen ist es eben nochmals gut Geld, aber auch weiter benötigter Platz in meiner Wohnung und in meinem Homelab habe ich aktuell kein Use Case für weitere 10Gbit-Verbindungen.
Siehe auf Wunsch das Bild in Google Drive in voller Auflösung

 

[Thorfinn]

Mir geht's im dritten Schritt um den Aufbau einer 10Gbit-Verbindung.

Wenn du dir haufenweise Adressenkonflikte und Nervenzusammenbrüche einhandeln willst dann ist so ein Kurzschluss ein 1a Weg dorthin.
Eine klare sternförmige Netzstruktur mit wohldefinierter Adressenadministration hat Vorteile.
Wenn du Übertragungsgeschwindigkeit brauchst, vergiss das Konzept NAS und wende dich dem Konzept "direkt an den Arbeitscomputer angeschlossenen Lagermedien" - evt. mit Repikation zu.

Hast du wirklich nur 4 Klienten (und 2 user) die auf die NAS zugreifen sollen?

 

[Thakis]

@Thorfinn
Danke für die Hinweise
Zum Glück ist das 10Gbit-Thema noch etwas entfernt, da ich dafür erst einmal kein Geld habe (speziell, wenn doch noch ein 450€-Switch dazukommen sollte).

Ja, ich lebe in einer Junggesellenmietswohnung
Ggf. kommt noch der Fernseher per WLAN dazu, um Filme wiedergeben zu können. Wobei ich eventuell Plex oder Jellifish auf meinem Server betreiben würde. Somit würde weiterhin der Server auf das NAS zugreifen und nicht der Fernseher selbst.

 

[Thonav]

Du unterschätzt die Möglichkeiten Deines NAS - und auch der ist ein Server. Deinen "alten" Server weiterhin zu nutzen ist aus meiner Sicht im privaten Bereich überhaupt nicht nötig, verbraucht nur unnütz Energie. But just my 50 Cent...

 

[Thakis]

@Thonav
"Unterschätzen" nicht. Ich kann mir die Möglichkeiten relativ gut vorstellen.
Ich habe mir dennoch bewusst erst vor wenigen Monaten den kleinen Server gekauft.
Für mich gibt es dafür mehrere Gründe, deren Ausführung das Maß dieses Threads übersteigen würden.

Dennoch vielen Dank für den Hinweis