Неприступный бастион для данных — DiskStation Manager 7.2

Буквально несколько дней назад я делал обзор на недавно вышедшее сетевое хранилище Synology DS423+. 

Synology DS423+, обзор читайте по ссылке выше. 

Пока я его писал, вышло обновление операционной системы Diskstation Manager (DSM) с версии 7.1.1. до версии 7.2. Обзор устройства вышел весьма объемным, плюс обновление тоже оказалось внушительным — вот я и решил посвятить ему отдельную статью. 

Какие модели получили обновление

По сути, все, которые работали с DSM 7.0. Разумеется, автоматическое обновление получают все модели, выпущенные за последние три года. Его запуск будет волнообразным, т.е., если ваше устройство еще не изъявило желание обновиться до 7.2, это значит, вы просто не попали в первую волну. Но не волнуйтесь, вы можете мануально скачать апдейт по ссылке, просто выбрав модель вашего устройства. Затем можно установить пакет самостоятельно, всего за пару кликов.

А вот список моделей, которые не получат уведомление о возможности обновления до 7.2, но вы можете его скачать и установить вручную:

• FS Series: FS3017, FS2017, FS1018
• XS Series: RS18016xs+, RS4017xs+, RS3617xs+, RS3617xs, RS3617RPxs, RS18017xs+, DS3617xs, DS3617xsII, DS3018xs
• Plus Series: RS2416RP+, RS2416+, DS916+, DS716+II, DS716+, DS216+II, DS216+, DS1817+, DS1517+, RS2818RP+, RS2418RP+, RS2418+, RS818RP+, RS818+, DS1618+, DS918+, DS718+, DS218+, RS1219+
• Value Series: DS416, DS416play, DS216, DS216play, DS116, RS816, DS1817, DS1517, RS217, DS418play
• J Series: DS416slim, DS416j, DS216j, DS418j, DS218j, DS419slim, DS119j

Что примечательно, в списке есть мой старенький DS416slim, которому уже больше семи лет! И несмотря на маломощный (даже тогда) процессор семейства ARMADA 38x и всего 512мб ОЗУ это устройство исправно получает обновления все эти года и хорошо продолжает выполнять свои функции. Это говорит о том, что компания надежно поддерживает даже старые устройства, а операционная система тщательно оптимизируется. 

Что нам принесло обновление

Обновление версии 7.2-64570 имеет 18 новых фич и 30 фиксов предыдущих багов и уязвимостей. Вот, на мой взгляд, самые интересные из них:

1. Более быстрое шифрование томов и всего, что находится на них. Причем, ключ шифрования может находиться в локальном хранилище ключей или на другом устройстве удаленно через протокол совместного управлением ключами (KMIP). Это защита от кражи или физического доступа к устройству. 
2. Система защиты «Пиши раз, считывай много раз» (WORM) на папки общего пользования. В этом режиме создав или загрузив какой-то файл, никто его больше не сможет изменить или удалить. Это может быть настроено на какой-то период времени или навсегда. 
3. Снимки состояния системы и данных на ней. Причем, они тоже имеют характеристику Immutable, что позволяет защитить копии данных даже при взломе учетной записи администратора с наивысшим уровнем доступа. Это хорошая защита от программ-вымогателей, которые, получив доступ к устройству, шифруют все содержимое и требуют перевести деньги, чтобы получить пароль для вскрытия архива с вашими данными. Это, кстати, самая распространенная атака на домашние сервера. 
4. В Hyper Backup удвоили скорость полного бекапа устройства на уровне блоков при больших объемах данных.
5. Теперь больше моделей могут использовать m.2 NVME диски, как тома для хранения данных, а не только для кэша. DS423+ умеет это сразу из коробки, однако, напомню, что в данный момент это работает только для твердотельных накопителей производства Synology. Я очень надеюсь, что для поддержания конкурентоспособности в будущем это ограничение будет снято. 
6. Оптимизация процесса дедупликации достигается путем эффективного удаления нулевых блоков. Это приводит к сокращению времени, затрачиваемого на дедупликацию после обработки, при этом сохраняется производительность операций ввода-вывода и уменьшается число записей на твердотельные накопители.

Схема оптимизации дедубликации без нулевых блоков.

И это еще далеко не все:

7. Добавлена адаптивная многофакторная проверка подлинности (AMFA) при авторизации в учетные записи, не защищенные двухфакторной аутентификацией. Если подключение к устройству происходит через интернет или с использованием нового устройства, то будет инициировано подтверждение входа через почту или мобильное приложение DS Finder. Больше защиты для беспечных администраторов, не подключивших 2FA сразу. 
8. Active Inside теперь может делать прогнозы на основе исторических данных, давая пользователю информацию, когда на устройстве может закончиться место. Таким образом можно заблаговременно подготовиться с расширению массива. 
9. Synology Photos теперь поддерживает формат файлов .WebP и фотографий Motion Photo (Android)
10. Старое приложение для работы с контейнерами Docker заменено на Container Manager. Это, на мой взгляд, очень значимое нововведение. Изменилась не только иконка и интерфейс, но и были добавлено ряд новых возможностей, о которых я бы хотел поговорить отдельно. 

Container Manager

Обновление DSM 7.2 сильно пересмотрело работу с контейнерами и результатом стало новое приложение под названием Container Manager. Жаль, что был также изменен всем привычный логотип кита с контейнерами. Предыдущее приложение Docker было, мягко говоря, не очень удобным, и скорее служило одной цели — запустить Portainer. 

В Container Manager было добавлено ряд всевозможных графический улучшений, статистика по каждому контейнеру стала быть более наглядной. Изменился и общий дашборд, хотя по моему мнению, они могли бы использовать интерфейс Resource manager, где все графики загрузки ЦПУ, ОЗУ, сети и дисков видны одновременно. 

Обзор состояния всех контейнеров и потребляемых ими ресурсов.

Но важное изменение — это полу-автоматическое обновление контейнера. Почему полу? А потому, что система сообщит вам о том, что вышла новая версия контейнера по сравнению с вашей текущей запущенной, но вам необходимо будет вручную инициировать процесс обновления. Однако, дальше работает автоматика: скачивается новая версия, потом останавливается текущий контейнер, накатывается обновление и контейнер пересоздается с теми же настройками и запускается вновь. Downtime занимает буквально пару секунд. 

Закладка по управлению проектом.

Конечно, если вы хотите полностью автоматически отслеживать и настраивать правила, то лучше поставить Watchtower — этакий режим «запустил и забыл». Но, в любом случае, такая функция Update&Recreate очень удобна. 

Вторая новая функция — это создание сразу проектов через Docker compose с использованием YAML файлов (готовых или самописных). В этом случае вы можете создать .yml файл, в котором будет прописаны все настройки и параметры контейнера и в один клик его запускать. 

Создание проекта путем написания YAML-конфига.

Или же вы можете создать сразу группу контейнеров, например Watchtower + Graphana + Prometheus, и разворачивать их в один клик. Это серьезные шаги в сторону улучшений возможности программы.

Для тех, кто не освоился с Docker compose, оставлена возможность создавать индивидуальные контейнеры с использованием графического интерфейса.

В целом, обновление DSM 7.2 мне понравилось. Оно серьезно расширило возможности работы с контейнерами «по серьёзному», а также добавило ряд критически важных инструментов по улучшению безопасности хранения данных и контроля за доступами к ним.