設定儲存桶複製的需求

儲存桶複製使用規則將一個 MinIO 部署上的儲存桶內容同步到遠端 MinIO 部署上的儲存桶。

複製可以透過以下任何方式完成

主動-被動符合條件的物件會從來源儲存桶複製到遠端儲存桶。遠端儲存桶上的任何變更都不會複製回。
主動-主動對任一儲存桶的符合條件物件所做的變更會以雙向方式複製到另一個儲存桶。
多站點主動-主動對任何設定為儲存桶複製的儲存桶上符合條件的物件所做的變更會複製到所有其他儲存桶。

在設定任何這些複製組態之前，請確保您符合以下先決條件。

設定儲存桶複製所需的權限

儲存桶複製需要來源和目的地部署上的特定權限，才能組態和啟用複製規則。

複製管理員

以下原則提供在部署上組態和啟用複製的權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "admin:SetBucketTarget",
                "admin:GetBucketTarget"
            ],
            "Effect": "Allow",
            "Sid": "EnableRemoteBucketConfiguration"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetReplicationConfiguration",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:GetObjectRetention",
                "s3:GetObjectLegalHold",
                "s3:PutReplicationConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Sid": "EnableReplicationRuleConfiguration"
        }
    ]
}

"EnableRemoteBucketConfiguration" 陳述式授予建立遠端目標以支援複製的權限。
"EnableReplicationRuleConfiguration" 陳述式授予在儲存桶上建立複製規則的權限。 "arn:aws:s3:::* 資源將複製權限套用至來源部署上的任何儲存桶。您可以根據需要將使用者原則限制為特定儲存桶。

以下程式碼會建立具有必要原則的 MinIO 管理使用者。將 TARGET 取代為您在其中組態複製的 MinIO 部署的別名

wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationAdminPolicy.json | \
mc admin policy create TARGET ReplicationAdminPolicy /dev/stdin
mc admin user add TARGET ReplicationAdmin LongRandomSecretKey
mc admin policy attach TARGET ReplicationAdminPolicy --user=ReplicationAdmin

針對 Active Directory/LDAP 或 OpenID Connect 使用者管理組態的 MinIO 部署應改為建立專用的存取金鑰來進行儲存桶複製。

複製遠端使用者

以下原則提供將複製資料同步到部署中的權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetReplicationConfiguration",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Sid": "EnableReplicationOnBucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetReplicationConfiguration",
                "s3:ReplicateTags",
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionTagging",
                "s3:PutObject",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutObjectLegalHold",
                "s3:DeleteObject",
                "s3:ReplicateObject",
                "s3:ReplicateDelete"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Sid": "EnableReplicatingDataIntoBucket"
        }
    ]
}

"EnableReplicationOnBucket" 陳述式授予遠端目標擷取儲存桶層級組態的權限，以支援 MinIO 部署中所有儲存桶上的複製操作。若要將原則限制為特定儲存桶，請在 Resource 陣列中指定這些儲存桶，類似於 "arn:aws:s3:::bucketName"。
"EnableReplicatingDataIntoBucket" 陳述式授予遠端目標將資料同步到 MinIO 部署中任何儲存桶的權限。若要將原則限制為特定儲存桶，請在 Resource 陣列中指定這些儲存桶，類似於 "arn:aws:s3:::bucketName/*"。

以下程式碼會建立一個具備必要政策的 MinIO 管理的使用者。請將 TARGET 替換為您正在設定複寫的 MinIO 部署的別名

wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationRemoteUserPolicy.json | \
mc admin policy create TARGET ReplicationRemoteUserPolicy /dev/stdin
mc admin user add TARGET ReplicationRemoteUser LongRandomSecretKey
mc admin policy attach TARGET ReplicationRemoteUserPolicy --user=ReplicationRemoteUser

針對 Active Directory/LDAP 或 OpenID Connect 使用者管理組態的 MinIO 部署應改為建立專用的存取金鑰來進行儲存桶複製。

請參閱 mc admin user、mc admin user svcacct 和 mc admin policy，以取得關於將使用者、存取金鑰和政策新增至 MinIO 部署的更完整文件。