1. 群晖NAS部署WebDAV
群晖NAS可以直接在套件中心部署WebDAV套件:
打开WebDAV套件配置,开启HTTPS:
HTTPS的证书可以在控制面板->安全性->证书页面,指定WebDAV Server使用的证书。
2. 创建备份使用的用户和共享文件夹
创建一个新的共享文件夹WebDAV:
另外,遵循最小化权限原则,我们创建一个普通用户ServerBackup,专门用来备份1Panel服务器的内容;
用户归属普通用户组users:
设置权限仅允许该用户访问WebDAV共享文件夹:
应用程序页签设置仅允许访问WebDAV Server应用,并且可以按IP地址指定仅目标服务器IP地址可以访问WebDAV Server服务。
回到共享文件夹,编辑WebDAV共享文件夹,在权限页签设置仅允许ServerBackup用户和管理员用户可以访问该共享文件夹。
3. 设置群晖防火墙
在群晖控制面板->安全性->防火墙中,添加防火墙策略,仅允许WAF服务器IP访问WebDAV HTTPS端口5006。
4. WAF创建WebDAV代理站点
在WAF服务器上新建站点WebDAV的代理站点,上游服务器地址为:https://{NAS IP}:5006,WAF对外暴露一个另外的端口。
SSH登录WAF服务器,添加UFW防火墙策略,设置仅允许1Panel服务器IP地址可以访问WAF对外暴露的端口:
ufw allow from {1Panel服务器IP} to any port {WAF代理站点暴露端口} proto tcp comment "Backup HongKong VPS"
5. 在宽带入口路由器上NAT放开WebDAV服务端口
还需要在宽带入口路由器上通过NAT,将访问WAF代理站点暴露端口的流量转发至WAF服务器:
6. 1Panel服务器创建备份账号
登录1Panel,在面板设置->备份账号页签,添加WebDAV账号
- 在
地址中填入通过WAF暴露的WebDAV端点地址。 用户名为上面创建的ServerBackup用户,密码为对应的用户密码。备份目录为在WebDAV共享文件夹下创建的一个子目录,专门用于备份此1Panel服务器,其属性地址为/volume1/WebDAV/HongKong-VPS,这里移除/volume1/填入WebDAV/HongKong-VPS。
提交后,就能使用该账号进行备份了。
7. 备份1Panel数据库
在计划任务->创建计划任务,任务类型为备份数据库,选择WebDAV的备份账号。
点击执行可以立即测试执行备份:
在群晖NAS的WebDAV共享文件夹下看到有对应的备份文件:
至此,就可以安全地使用WebDAV备份1Panel上的服务了。
