Question réplication et droits fichiers

[ssbm]

Bonjour,

 

Je suis en train de mettre en place un projet de remplacement de l'infrastructure systeme et réseau de mon entreprise.

Coté systeme, je pense utiliser plusieurs serveur NAS Synology RS2416RP qui feront office de serveur de fichier.

Ils seront joints au domaine de l'entreprise, et remonteront donc les utilisateurs et groupes AD.

 

Ayant plusieurs sites distants (4 au total), je voudrais mettre en place 1 NAS par site avec une réplication entre eux.

Je voudrais savoir si, à l'image de la réplication DFS sur Windows server, les NAS synology proposent cette option afin de les répliquer entre eux. Pas pour mettre en place des sauvegardes (comme a l'air de faire le logiciel "Backup & Replication"), mais pour de la disponibilité : quand un fichier est modifié sur un site, qu'il le soit quasi instantanément sur les autres, et inversement.

 

Côté dossiers et droits utilisateurs, je souhaite créer un dossier personnel pour chaque utilisateur, lequel aura les plein droits dessus et sans que l'admin ne puisse accéder à son contenu.

Sur Windows Server, j'utilise le droit "créateur propriétaire" qui permet, a la création du dossier, que l'utilisateur qui le crée ait justement tout les droits cités précédemment.

Existe-t-il l'équivalent sur ce type de NAS?

 

Merci par avance.

Modifié le 21 octobre 2016 par ssbm

[Fenrir]

Je ne pense pas que tu sois en charge de l'infra pour plus que quelques dizaines de personnes (une centaine tout au plus), mais je vais te donner des éléments de réponse adaptés à une ETI plutôt qu'à une PME, donc ne soit pas effrayé. Après libre à toi de faire des concessions pour revenir à un niveau raisonnable (surtout pour ce qui concerne les aspects "quasi instantané" et "bidirectionnel"). Tu trouveras une version plus raisonnable tout en bas.

nb : si tu représentes une ETI, ce n'est pas ici qu'il faudrait poser tes questions, mais autour d'une table avec un intégrateur Netapp/EMC/Nutanix/...

Il y a 8 heures, ssbm a dit :

Ayant plusieurs sites distants (4 au total), je voudrais mettre en place 1 NAS par site avec une réplication entre eux.

Il te faut donc 5 nas minimum (spare), sans compter un système redondé de sauvegarde incrémentale séparé (tu as 4 sites donc place une copie de sauvegarde dans au moins 2 d'entre eux).

Il y a 8 heures, ssbm a dit :

Je voudrais savoir si, à l'image de la réplication DFS sur Windows server, les NAS synology proposent cette option afin de les répliquer entre eux.

Des fonctions équivalents existent, mais je ne sais pas ce que ça donne en cas de conflits (même fichier modifié au même moment sur plusieurs sites), de ce que j'ai testé, les fonctions de réplication Synology sont plus adaptés pour du PRA ou du PCA qu'autre chose. Pour ce qui est du mode HA, c'est du PCA et je crois qu'il est limité à 2 nas (qui doivent être dans le même lan).

Sachant que rien ne t’empêche de faire du DFS-R classique avec des Synology (il suffit d'avoir un serveur windows ayant accès aux différents nas).

En passant je ne sais pas si tu connais BrandCache.

Il y a 9 heures, ssbm a dit :

quasi instantanément

DFS-R travail sur des fichiers, quand on souhaite de la synchro quasi temps réel, ont doit travailler sur des blocs au niveau disque, ce que DFS-R ne permet pas.

Dans l'absolu, la réplication bidirectionnelle temps réel ça n'existe pas (sauf en mécanique quantique), surtout en mode fichier. Soit on fait de l'unidirectionnel, soit un accepte un temps de latence plus ou moins important. En mode bloc, la latence est réduite mais elle existe toujours.

En général ce qu'il se passe, c'est que dès qu'un utilisateur "touche" à un fichier, un signal est envoyé aux autres équipements pour :

1. dire aux autre équipements que le fichier est verrouillé (si le fichier est déjà verrouillé, l'accès en est bloqué)
2. propager les modifications
3. enlever le verrou

=>tout ça prend du temps, au moins quelques ms (même avec 2 nas dans le même lan en SSD+10gbits) sans compter le temps d'écrire les modifications (si le fichier est très gros, c'est très long), globalement c'est plus lent que d'accéder au fichier directement sur le site distant.

Pour la réplication en elle même, je ne connais pas le détail de ton activité ni les spécification de tes interco réseau, mais la réplication quasi temps réel entre 2 sites implique d'avoir un débit très important et une latence très faible. En général pour faire ça, on utilise des techno qui n’existent pas chez Synology (FC, infiniband, ...). Entre 4 sites ça devient excessivement couteux. Si ça doit passer par des liaisons grand public (même en fibre) et/ou non redondées, oublie tout de suite.

Il y a 9 heures, ssbm a dit :

sans que l'admin ne puisse accéder à son contenu.

Pas possible (y compris sous Windows) et de toute manière ce n'est pas recommandé.

• pas possible car l'admin d'un syno à les privilèges de root, donc il a obligatoirement accès à tout
• pas recommandé car il faut toujours avoir un compte avec assez de droits pour, par exemple, corriger les problèmes de droits, faire les sauvegardes, ...

Mais rien ne t'oblige à laisser n'importe qui utiliser ce compte.

(en réalité il y a un moyen d'y arriver, le chiffrement, avec tout ce que ça implique derrière)

Il y a 9 heures, ssbm a dit :

Sur Windows Server, j'utilise le droit "créateur propriétaire" qui permet, a la création du dossier, que l'utilisateur qui le crée ait justement tout les droits cités précédemment.

Ce droit est automatique sous Windows, le créateur d'un fichier/dossier à toujours le droit de gérer les droits dessus (je trouve d'ailleurs ça pénible et dangereux). Pour ce qui est des dossiers personnels individuels (il ne s'agit pas de données perso, mais individuelle, du point de vu légal ce n'est pas du tout le même chose), les droits sont correctement placés sur les dossiers "home" de chaque compte à la première connexion.

======================

En version plus raisonnable pour une PME :

• 1 nas par site sans réplication bidirectionnelle
  • la réplication unidirectionnelle n'est pas un soucis et peut rendre service :
    • par exemple si le site1 produit alors que le site2 consomme sans jamais modifier
    • pour faire un PCA ou un PRA
  • le dossier "home" d'un utilisateur est sur le nas du site où il en a le plus souvent besoin
  • idem pour les différents partages, ils sont là où ils sont le plus souvent utilisés
• une infra DFS (+ABE) afin de présenter les différents partages des différents nas aux différents utilisateurs dans une arborescence unique
  • donc si une personne du site1 veut modifier un fichier du site2, elle le fera sur le nas du site2 via l'interco
• 1 système de sauvegarde incrémentielle, si possible doublé