QNAP 威聯通近期釋出了基於 ZFS 的作業系統重大更新,QuTS hero h6.0.0.3324 (Public Beta),可說是將許多「企業級高階功能」下放到 QANP 中高階 NAS 機種的關鍵升級。
對於正在使用 QuTS hero 的企業用戶與 IT 管理者而言,這次更新帶來了重要的 High Availability (HA) 構、FIDO2 無密碼登入以及儲存區域網路 (SAN) 的 NPIV 虛擬化技術。
然而,做為 Beta 版本且伴隨著底層架構(如 ACL 2.0)的變更,本次升級也有不少「斷捨離」的應用程式與硬體支援。以下是我們針對這次改版的實際測試與解析。
更新之後的 App Center 介面變得更簡潔了
1、軟體定義的高可用性 (High Availability Manager)
過去要實現 NAS 的 HA 架構,通常需要購買昂貴的雙控制器 (Dual Controller) 機種。在 h6.0.0 中,QNAP 推出了全新的 High Availability Manager,允許用戶使用兩台「相同型號」的 NAS 建立主動/被動 (Active/Passive) 的備援機制。
自動故障轉移 (Failover): 當主機故障時,備援機自動接管服務,最大化服務在線時間。
虛擬交換器整合: 支援將虛擬交換器作為 Cluster 介面,這對於虛擬化網路環境的部署彈性是一大福音。
自動容錯回復 (Auto Failback): 系統修復重啟後,可自動將主動角色轉移回原始節點,減少手動介入的管理負擔。
CyberQ 觀察,這對於預算有限但對服務中斷零容忍的中小企業來說是殺手級功能。不過請注意,HA 環境下對於加密儲存池與 LUN 有特定的密碼要求,且目前僅支援同型號配對。
2、資安與身分驗證現代化:FIDO2 與 ACL 2.0
隨著身分攻擊手法的演進,傳統密碼已不再安全。h6.0.0 引入了 FIDO2 / WebAuthn 標準。
下面這個 App FIDO 2 Server 這次必安裝,它給了我們超好的 QNAP NAS 登入安全環境大升級。
如果有使用 QNAP ID 登入的,記得在這邊也要設定一件重要的事情是,請儘量保持在私人存取模式,如果你需要有給不同 QNAP IP 團隊協作登入你的 NAS ,相關安全性設定要設好。
通行金鑰 (Passkeys): 支援 YubiKey 實體金鑰,或是 Windows Hello、Touch ID 等生物辨識登入,徹底實現無密碼登入 (Passwordless)。
支援 Windows Hello 攝影機刷臉登入,設定很方便,之後只要臉孔辨識就可以登入自己的QNAP NAS,這對商務筆電使用者來說很受用,QNAP 此舉頗受商務用戶好評。
對於資安更注重的用戶,除了讓手機讓有驗證器之外,也可以採用實體金鑰的方式,但建議一次要準備二支以上,避免有任何一支壞掉或遺失。
下圖的實測中,CyberQ 綁訂了 4 個無密碼登入的裝置,有手機,有二個實體安全金鑰,有一個Windows商務筆電Hello攝影機刷臉,確保萬無一失,另外也可以去多設定一個 QNAP 驗證器,需要裝APP搭配使用。
都設定好之後,我們連線 QNAP NAS,就可以看到支援 FIDO 的登入方式納入
ACL 2.0 權限架構重構: 這是底層的一大變動。ACL 項目上限從 124 個暴增至 1024 個,並最佳化了權限繼承程序。這對於擁有複雜 AD 網域架構、需要細緻權限控管的大型組織來說,解決了長久以來的痛點。
3、SAN 架構升級:NPIV 與 KMIP
針對虛擬化與合規性需求,儲存層面有兩大更新:
N-Port ID Virtualization (NPIV): 光纖通道 (FC) 現在支援 NPIV,允許多個 WWN 共用一個實體 FC Port。這意味著多台 VM 可以直接掛載 LUN,大幅提升 SAN 的資源效率與擴充性。
KMIP (金鑰管理交互作業能力通訊協定): 支援連接遠端金鑰伺服器 (Key Server) 管理加密金鑰,符合企業資安合規要求(特別是金融與醫療產業)。
4、儲存效能最佳化:分層儲存池 (Tiered Storage Pools)
雖然 QuTS hero 本身已有強大的 SSD Cache 與 ZIL,但 h6.0.0 引入了分層儲存池概念。在同一個儲存池中可包含 2~3 層不同速度的介質(如 NVMe SSD + HDD),系統會依據冷熱資料自動分層,兼顧效能與容量成本。
下面幾張是 CyberQ 實測建立在 QuTS hero h6.0.0 的標準三層 Qtier儲存池。
這當中有 2 個 PCIe-4 512GB SSD、2 個 SATA 512GB SSD、6 顆 4TB Seagate IronWolf NAS 專用 HDD 硬碟機,組成高速層、中速層、低速層三階的 Qtier 儲存池,適用於大部分 VM 虛擬機、容器與辦公室應用公用磁區、Qsync 多個資料夾同步之用,我們會另外再詳解。
升級前需要留意的相容性與終止支援清單
像是上圖的容器工作站,它如果進行容器儲存空間格式的升級,就得移除掉已經運作中的容器,所以需要把容器設定檔案備份,升級之後再導入回來才能用,但如果不升級這個容器格式到新版,那就沒有差,繼續用也可以。
身為 Public Beta,且涉及 ACL 架構變更,本次更新有幾個極為重要的注意事項,請務必在升級前確認:
快照不相容警告: 由於升級至 ACL 2.0,h6.0.0 建立的快照無法匯入舊版 ACL 的裝置。若你的備份目的地 (Destination) 仍是舊版系統,SnapSync 與快照備份任務將會失敗。請務必確保來源與目的端同步升級。
硬體支援終止: 不再支援部分擴充卡,包括 Mustang-200 計算加速卡系列、Mustang-F100/V100 FPGA 卡,以及舊款 QM2 擴充卡 (QM2-2P10G1T/2S10G1T)。
應用程式下架: Python 2/3 (系統原生)、Skype、QVR Elite (需轉移至 QVR Surveillance) 等應用將不再支援。依賴這些工具的自動化腳本或監控環境需特別留意。
安全開機 (Secure Boot): 目前僅 TVS-AIh1688ATX 率先支援此功能,能防止未經簽章的惡意韌體載入。
同場加映:QuTS hero h5.2.8.3321 (Stable)
如果你追求極致穩定,或是你的生產環境尚未準備好迎接 h6.0.0 的架構變動,QNAP 同步釋出了 h5.2.8.3321 版本與 h5.3.1.3292 版本。
重點修復: 解決了 WORM 檔案保留期間延長導致系統無回應、以及降級儲存池重啟後發生 I/O 錯誤等關鍵 Bug。
功能微調: 支援 QTS 與 QuTScloud 間的系統設定備份還原,並最佳化了 2SV (兩步驟驗證) 的容錯機制。
QuTS hero h6.0.0 未來展望
QuTS hero h6.0.0 展現了 QNAP 強烈的企圖心,將 HA、NPIV 與 Passkeys 等一線企業功能納入標準配備。對於使用 TS-h2490FU、TS-h1290FX 或 TVS-h1688X 等主力機種的用戶來說,未來的潛力巨大。
CyberQ 建議,由於 6.0.0 很多部分算是 QNAP 將自家生態系逐漸重構以及更新整合的新版本,包括之前我們報導過的 HBS 資料備份產品重構調整策略,因此在這個時間點的更新格外重要,是邁入下一階段 QNAP 系列產品的必要過程,但總免會有一些陣痛期,也就是套件的更迭與部分套件不再使用:
一般用戶與生產環境: 建議暫時停留在 h5.2.8,等待 h6.0.0 進入正式版 (General Availability) 且 ACL 移轉方案更為成熟後再行升級。
測試環境與資安研究人員: 如果你的手邊有閒置的相容機種,強烈建議測試 ACL 2.0 的權限繼承行為以及 FIDO2 的整合性,這將是未來 QNAP 系統的主流標準。
欲了解完整的支援型號與下載連結,請參閱 QNAP 官方網站的說明。
