Storage Systems — Chapitre 8 NAS Network Attached Storage

8.1 Définition : Network Attached Storage

Définition opérationnelle

Un NAS est un système de stockage qui expose des fichiers et dossiers à travers le réseau. Contrairement au SAN qui présente des blocs, le NAS parle des protocoles fichiers : NFS, SMB/CIFS, parfois FTP/SFTP ou WebDAV. Les clients voient des partages, des exports, des chemins et des permissions.

Idée centrale : le NAS est un serveur de fichiers spécialisé, souvent enrichi avec snapshots, quotas, ACL, réplication, antivirus, indexation, audit et intégration annuaire.

Chaîne logique

Client→Network→NFS/SMB service→NAS filesystem→RAID / Pool

Approche	Description	Avantage	Limite
Serveur fichiers classique	OS généraliste + disques + partage.	Souple, économique.	Moins intégré, dépend fortement de l'admin.
Appliance NAS	OS spécialisé stockage.	GUI, snapshots, quotas, réplication, alertes.	Écosystème constructeur.
NAS enterprise	Cluster, HA, scale-out, multi-protocol.	Disponibilité et gouvernance.	Coût et complexité.

Objet	Rôle
Pool	Regroupe disques/RAID/vdevs en capacité utilisable.
Volume	Espace logique avec paramètres de snapshot, quota, compression.
Share SMB	Partage Windows/macOS/Linux via protocole SMB.
Export NFS	Export POSIX pour Linux, Unix, hyperviseurs ou Kubernetes.
Snapshot	Image ponctuelle du filesystem pour retour arrière rapide.

Partage commun d'une PME : \\nas\commun.
Export NFS pour datastores VMware ou Proxmox.
NAS backup avec snapshots immutables contre ransomware.
Home lab multimédia avec Plex/Jellyfin.
Scale-out NAS enterprise pour millions de fichiers.

8.2 Protocoles : NFS, SMB/CIFS, AFP, FTP/SFTP

Protocole	Clients	Forces	Pièges
NFSv3	Unix/Linux, hyperviseurs	Simple, performant, mature.	Auth plus faible si mal isolé.
NFSv4.x	Linux/Unix enterprise	Stateful, ACL, Kerberos possible.	Configuration plus stricte.
SMB/CIFS	Windows, macOS, Linux	AD, ACL fines, locking, multichannel.	Permissions complexes.
AFP	macOS legacy	Historique Apple.	À remplacer par SMB moderne.
FTP/SFTP	Transfert fichiers	Échanges simples, automatisation.	Pas un filesystem partagé moderne.

NFS en production

NFSv3 reste fréquent pour datastores et Unix legacy.
NFSv4 apporte état, locking intégré, ACL, Kerberos.
Options critiques : sync/async, root_squash, no_root_squash, sec=krb5p.
Très utilisé pour Linux, calcul scientifique, VM datastores et Kubernetes RWX.

# Client Linux
showmount -e nas01
mount -t nfs4 nas01:/exports/prod /mnt/prod
nfsstat -m

SMB/CIFS

SMB est central pour les environnements Windows et mixtes. Il gère authentification AD, ACL NTFS-like, opportunistic locks, durable handles, encryption, signing et parfois multichannel.

SMB signing	Intégrité, coût CPU possible.
SMB encryption	Confidentialité sur réseau non fiable.
SMB multichannel	Utilise plusieurs interfaces si supportées.
ACL Windows	Puissant mais vite complexe sans gouvernance.

FTP/SFTP est utile pour dépôt, échanges partenaires, scripts de transfert ou workflows legacy. Ce n'est pas le meilleur choix pour un partage collaboratif monté en permanence.

Éviter FTP non chiffré. Préférer SFTP, FTPS ou portail HTTPS avec audit.

Besoin	Choix typique
Postes Windows + AD	SMB
Linux servers	NFSv4
VMware datastore	NFS certifié ou block storage selon design
Kubernetes RWX simple	NFS CSI
Échange externe	SFTP/HTTPS

8.3 Usages : partages, sauvegardes, médias, PME, datacenter

Dossiers communs d'équipe avec ACL AD.
Home directories utilisateurs.
Espaces projets avec quotas.
Partage inter-plateformes Windows/macOS/Linux.
Audit des accès pour conformité.

Le NAS devient vite une zone centrale de gouvernance documentaire : nommage, droits, cycle de vie, archivage.

NAS comme cible backup

Dépôt Veeam, Borg, Restic, Rsync, Time Machine.
Snapshots immutables ou verrouillés selon plateforme.
Réplication vers second NAS ou cloud.
Attention : un NAS accessible en écriture par les serveurs peut être chiffré par ransomware.

Une cible backup NAS doit être protégée par comptes dédiés, immutabilité, segmentation et tests restore.

Usage	Exigence	Piège
Plex/Jellyfin	Débit séquentiel, transcodage éventuel.	CPU NAS insuffisant.
Photos	Indexation, miniatures, backup mobile.	Pas de backup externe.
Home lab	NFS/SMB, snapshots.	Mélange prod perso et tests risqués.

PME

Partages bureautiques.
Backup centralisé.
Synchronisation cloud hybride.
Snapshots anti-erreur humaine.

Datacenter

File services multi-tenant.
Data science datasets.
VDI profiles.
Scale-out file workloads.

Utiliser un NAS bas de gamme comme stockage unique d'une base transactionnelle critique.
Exposer SMB directement sur Internet.
Donner droits admin/domain admin à un service backup.
Confondre snapshots locaux et sauvegarde externe.
Laisser tous les utilisateurs en écriture sur racine des partages.

8.4 NAS grand public : Synology, QNAP, Asustor, TerraMaster

Les NAS grand public et prosumer ciblent home lab, créateurs, petites structures et agences. Ils apportent une interface graphique, des applications, snapshots, synchronisation cloud et services multimédia.

Forces	Simplicité, coût, écosystème d'applications, faible consommation.
Limites	CPU/RAM, réseau, nombre de baies, sécurité exposée si mal configurée.

Synology : DSM, facilité d'administration, snapshots, Active Backup selon modèles.
QNAP : matériel souvent varié, options réseau/PCIe, fonctionnalités avancées.
Asustor/TerraMaster : alternatives souvent compétitives en coût.

Toujours vérifier mises à jour de sécurité, exposition Internet et politique de snapshots.

Désactiver services inutiles.
MFA pour comptes admin.
Pas d'exposition directe SMB/administration sur Internet.
Snapshots réguliers + réplication externe.
Comptes par service, pas de compte admin pour backup.

Besoin	Risque
VM datastore critique	Latence et support limités selon modèle.
Très nombreux utilisateurs	CPU/RAM et disques saturés.
Conformité stricte	Audit et gouvernance parfois insuffisants.

8.5 NAS enterprise : NetApp, Dell PowerScale/Isilon, HPE, IBM, Huawei

Contrôleurs redondants ou architecture scale-out.
Namespace global et capacité massive.
Multi-protocol : SMB, NFS, parfois S3.
Snapshots efficaces, clones, quotas, réplication.
Intégration AD/LDAP/Kerberos et audit avancé.

Modèle	Principe	Avantage	Limite
Scale-up	Contrôleur puissant + shelves.	Simple, performant verticalement.	Limite par contrôleur.
Scale-out	Plusieurs nœuds dans cluster.	Capacité et débit horizontaux.	Complexité réseau/équilibrage.

SnapshotsCOW

Restauration rapide.

ReplicationDR

Site secondaire.

QuotasGov

Contrôle capacité.

AuditSec

Traçabilité accès.

Débit réel par protocole, pas seulement capacité brute.
Licences snapshots/réplication/anti-ransomware.
Support AD et audit requis.
Expansion capacity planning.
Coût support 3/5 ans.

8.6 Sécurité NAS : ACL, AD/LDAP, chiffrement, snapshots, anti-ransomware

La sécurité NAS combine authentification, autorisation, exposition réseau, chiffrement et capacité de retour arrière. Le point le plus difficile est souvent l'héritage d'ACL dans des arborescences anciennes.

Auth	AD, LDAP, Kerberos, comptes locaux.
Authorization	ACL SMB/NFSv4, POSIX mode bits, groupes.
Audit	Qui a lu, modifié, supprimé ?

Un NAS monté en écriture par les postes est une cible ransomware prioritaire.

Snapshots fréquents et verrouillés.
Comptes backup non interactifs.
Détection de taux de renommage/chiffrement anormal.
Partages en moindre privilège.
Réplication vers cible non modifiable par les clients.

Encryption at rest : volume, pool, dataset ou SED.
Encryption in transit : SMB encryption, NFS Kerberos privacy, SFTP/HTTPS.
Gestion clés : KMS/HSM si besoin enterprise.
Attention au reboot : clé nécessaire pour remonter volumes.

VLAN stockage séparé.
ACL firewall : seuls clients nécessaires peuvent atteindre NFS/SMB.
Administration sur réseau management.
Pas d'interface admin exposée Internet.
MFA et bastion pour admin.

# Linux client examples
smbstatus
getfacl /mnt/share
nfsstat -m

# Checks conceptuels NAS
- top clients by I/O
- failed logins
- mass delete events
- snapshot delete events
- permission changes

8.7 Architecture NAS : contrôleurs, shelves, pools, volumes, namespace

Clients→SMB/NFS front-end→Namespace→Volumes→Pools→Disks/Flash

Élément	Rôle
Controller	CPU/RAM réseau/protocoles.
Shelf	Extension disques.
NVRAM / journal	Sécuriser écritures synchrones.
Interconnect	HA ou cluster scale-out.

Le namespace permet de présenter une arborescence logique stable même quand les volumes physiques ou nœuds changent. En scale-out, c'est crucial pour éviter de disperser les chemins utilisateurs.

Séparer volumes par criticité et politique snapshot.
Éviter un seul partage géant sans quotas.
Prévoir conventions de nommage.
Documenter owners métier par partage.

8.8 Filesystems NAS : ZFS, Btrfs, WAFL, OneFS, ext4/XFS appliance

FS / moteur	Points forts	Usage
ZFS	Checksums, snapshots, compression, scrub.	NAS robuste, backup, archive.
Btrfs	COW, snapshots, checksums.	NAS prosumer selon implémentation.
WAFL	Snapshots/clones efficaces.	NetApp ONTAP.
OneFS	Scale-out filesystem.	Dell PowerScale/Isilon.

Les snapshots NAS protègent surtout contre erreur humaine, suppression, corruption logique récente et ransomware si verrouillés. Ils sont rapides car souvent basés COW ou redirect-on-write.

Snapshot local ≠ backup externe. Si le NAS entier est perdu, les snapshots locaux disparaissent.

Compression souvent utile pour documents, logs, VM templates.
Déduplication utile mais coûteuse RAM/CPU selon plateforme.
Mesurer avant d'activer globalement.
Attention aux données déjà compressées : médias, archives zip, vidéos.

# ZFS style
zpool status
zpool scrub tank
zpool status -v tank

# Btrfs style
btrfs scrub start -Bd /volume1
btrfs scrub status /volume1

8.9 Performance NAS : réseau, métadonnées, cache, SMB multichannel

Réseau1-100G

Bande passante et latence.

Metadatahot

Millions de petits fichiers.

Sync writesdur

NFS/VM/DB très sensibles.

CacheRAM/SSD

Lecture et metadata.

Les petits fichiers saturent souvent métadonnées, CPU protocole, latence réseau et opérations directory lookup bien avant le débit brut disque.

Éviter répertoires avec millions d'entrées.
Activer indexation seulement si utile.
Mesurer ops/s metadata, pas seulement MB/s.

SMB multichannel	Peut utiliser plusieurs liens réseau.
Jumbo frames	Seulement si bout-en-bout maîtrisé.
NFS sync	Plus sûr, exige journal/cache fiable.
Read-ahead/cache	Dépend workload séquentiel vs random.

# Clients Linux
nfsstat -m
nfsiostat 1
iostat -x 1
smbstatus

# Réseau
iperf3 -c nas01
ethtool eth0
ss -tan | grep ':445\|:2049'

8.10 HA et résilience NAS : RAID, snapshots, réplication, failover

Couche	Protection
Disques	RAID/RAID-Z/erasure coding.
Contrôleur	HA pair ou cluster.
Filesystem	Snapshots, checksums, scrub.
Site	Réplication distante.
Ransomware	Snapshots immutables + backup isolé.

En NAS enterprise, le failover peut déplacer IP, services, volumes ou ownership entre contrôleurs. Les clients SMB/NFS réagissent différemment selon version, locking et timeout.

Synchrone : faible RPO, exige latence basse.
Asynchrone : plus simple pour distance, RPO non nul.
Snapshot replication : efficace pour fichiers.
Tester régulièrement promotion du site secondaire.

Une réplication réplique aussi parfois les suppressions et corruptions. Garder snapshots historiques et copies isolées.

8.11 NAS et sauvegarde : cible backup, immutabilité, 3-2-1

Le NAS est une cible de backup très fréquente grâce à sa capacité, SMB/NFS, snapshots et réplication. Mais il doit être durci comme un coffre, pas comme un simple partage ouvert.

3 copies
2 médias ou plateformes différentes
1 copie hors site
+ 1 copie immuable/offline si possible

Snapshots verrouillés.
WORM/retention lock selon plateforme.
Compte backup sans droit de suppression snapshot.
Administration séparée des comptes de production.

Veeam	Dépôt SMB/NFS ou appliance selon design.
Borg/Restic	Chiffrement côté client, déduplication.
Rsync	Simple mais attention suppression miroir.
Time Machine	Usage macOS, quotas recommandés.

8.12 NAS pour virtualisation : NFS datastore, SMB 3, VDI

NFS est utilisé comme datastore partagé pour certains hyperviseurs. Il simplifie la gestion, mais les écritures synchrones et la latence réseau deviennent critiques.

Réseau dédié stockage.
Snapshots cohérents avec hyperviseur.
Attention aux locks et timeouts.

SMB 3 peut servir certains scénarios Hyper-V avec fonctionnalités comme multichannel et continuous availability, si la plateforme NAS le supporte correctement.

NAS saturé = toutes les VM impactées.
Snapshots NAS non coordonnés avec guest peuvent être incohérents.
Latence p99 dégrade fortement VM et VDI.
Réseau partagé bureautique/stockage = mauvais design.

Réseau 10/25G dédié selon charge.
Tester restore VM complet.
Mesurer latence datastore, pas seulement débit.
Limiter snapshots trop longs.

8.13 NAS et containers : Kubernetes RWX, CSI NFS/SMB

Le NAS est pratique pour volumes Kubernetes ReadWriteMany : plusieurs pods peuvent monter le même export. C'est utile pour contenus partagés, uploads, modèles IA, mais pas toujours adapté aux bases transactionnelles.

# Concepts
StorageClass NFS/SMB
PersistentVolume
PersistentVolumeClaim
Pod mounts

# Points critiques
- uid/gid
- permissions
- reclaim policy
- backup volume
- network policy

Mettre PostgreSQL critique sur NFS sans comprendre sync/locking/latence.
Partager le même RWX entre applications non isolées.
Ignorer uid/gid et ACL.
Ne pas sauvegarder les PV.

NAS pour données partagées non transactionnelles.
DB via opérateur avec stockage bloc/local adapté.
Quotas par namespace/projet.
Snapshots coordonnés avec application.

8.14 Observabilité NAS : logs, audit, quotas, latence, capacity planning

Métrique	Pourquoi
Capacity used/free	Éviter panne par volume plein.
Inodes/fichiers	Petits fichiers saturent metadata.
Top clients	Identifier clients bruyants.
SMB/NFS latency	Qualité ressentie.
Snapshot growth	Capacité cachée consommée.

Ouverture/lecture fichier sensible.
Suppression massive.
Changement ACL.
Création compte admin.
Suppression snapshot.

Volume > 80/90/95%.
Snapshot reserve consommée.
Réplication en retard.
Échec backup.
Pic rename/delete suspect.

Croissance mensuelle = delta capacité sur 30 jours
Horizon saturation = capacité libre / croissance mensuelle
Tenir compte snapshots + corbeilles + versions

8.15 Matrice NAS vs DAS/SAN/Object

Solution	Force	Faiblesse	Usage
NAS	Partage fichiers simple	Latence/protocole fichier	Documents, backup, NFS/SMB
DAS	Latence locale	Pas partagé	DB locale, edge
SAN	Bloc partagé	Coût/complexité	VM, DB enterprise
Object	Échelle/durabilité	Pas POSIX natif	Archive, data lake

Besoin de dossiers partagés.
Clients Windows/Linux/macOS.
Snapshots et quotas par projet.
Backup centralisé.
Accès fichier plutôt que bloc.

Latence ultra basse obligatoire.
Base transactionnelle critique sans certification.
Object storage massif API S3 préférable.
Besoin block device natif partagé.

PME documents	NAS SMB + AD + snapshots + backup externe.
Linux compute	NFSv4 + quotas + réseau dédié.
Archive massive	Object storage ou NAS scale-out.
VMware simple	NFS datastore si supporté et réseau dédié.

8.16 Runbooks NAS : incidents et restauration

Tester résolution DNS/IP.
Tester ping/port SMB 445 ou NFS 2049.
Vérifier service NAS SMB/NFS.
Tester avec compte admin et compte utilisateur.
Vérifier ACL, quota, volume plein.
Consulter logs NAS et client.

Identifier changement récent ACL/groupe AD.
Comparer avec snapshot ou export permissions.
Ne pas appliquer récursif global sans sauvegarde ACL.
Restaurer droits sur sous-arborescence test.
Valider avec utilisateur métier.

Isoler clients suspects.
Couper accès écriture si propagation active.
Identifier fenêtre d'infection.
Restaurer depuis snapshot sain verrouillé.
Révoquer comptes compromis.
Analyser logs rename/delete/write.

Restore flow: 1. Identify path and timestamp. 2. Browse snapshot read-only. 3. Restore to alternate path first. 4. Validate with owner. 5. Replace production data. 6. Keep incident snapshot until closure.

8.17 Checklist production NAS

Contrôle	OK ?	Note
Protocoles choisis par usage	☐	SMB, NFS, SFTP.
Réseau stockage dédié si charge	☐	VLAN, 10/25G selon besoin.
Volumes par criticité	☐	Snapshots/quotas adaptés.
Capacity planning 12/24 mois	☐	Données + snapshots.

AD/LDAP intégré.
MFA admin.
Pas d'exposition Internet SMB/admin.
Snapshots immutables si possible.
Audit activé sur partages sensibles.

Snapshots NAS locaux ne suffisent pas.

Backup externe ou réplication distante.
Test restore périodique.
Compte backup dédié moindre privilège.
Copie isolée ransomware.

Alertes capacité, disque, snapshot, réplication.
Firmware planifié.
Runbook incident documenté.
Owners métiers des partages identifiés.

Liste partages/exports et propriétaires.
Modèle ACL et groupes AD.
Politique snapshots/rétention.
Plan réseau et règles firewall.
Procédures restore et ransomware.

🗂️ Storage Systems — Chapitre 8 : NAS, Network Attached Storage

Définition du NAS

Protocoles NAS

Usages

NAS grand public

NAS enterprise

Sécurité NAS

Architecture NAS

Filesystems NAS

Performance NAS

HA et résilience

NAS et sauvegarde

NAS pour virtualisation

NAS et containers

Observabilité

Matrice NAS vs DAS/SAN/Object

Runbooks production

Checklist production