Erasure Code 計算機 
參考硬體 設定儲存桶複寫的需求
儲存桶複寫使用規則將一個 MinIO 部署上的儲存桶內容同步到遠端 MinIO 部署上的儲存桶。
複寫可以透過以下任何方式完成
主動-被動 符合條件的物件會從來源儲存桶複寫到遠端儲存桶。遠端儲存桶上的任何變更都不會複寫回去。
主動-主動 任一儲存桶符合條件的物件變更會以雙向方式複寫到另一個儲存桶。
多站點主動-主動 設定為儲存桶複寫的任何儲存桶上的符合條件物件變更會複寫到所有其他儲存桶。
在設定任何這些複寫組態之前,請確保您符合以下先決條件。
設定儲存桶複寫所需的權限
儲存桶複寫需要來源和目的地部署上的特定權限,才能組態和啟用複寫規則。
以下原則提供在部署上組態和啟用複寫的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"admin:SetBucketTarget",
"admin:GetBucketTarget"
],
"Effect": "Allow",
"Sid": "EnableRemoteBucketConfiguration"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationRuleConfiguration"
}
]
}
"EnableRemoteBucketConfiguration"陳述式授與建立支援複寫的遠端目標的權限。"EnableReplicationRuleConfiguration"陳述式授與在儲存桶上建立複寫規則的權限。"arn:aws:s3:::*"資源將複寫權限套用到來源部署上的任何儲存桶。您可以視需要將使用者原則限制為特定儲存桶。
以下程式碼會使用必要的原則建立MinIO 管理的使用者。請將TARGET 取代為您正在設定複寫的 MinIO 部署的別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationAdminPolicy.json | \
mc admin policy create TARGET ReplicationAdminPolicy /dev/stdin
mc admin user add TARGET ReplicationAdmin LongRandomSecretKey
mc admin policy attach TARGET ReplicationAdminPolicy --user=ReplicationAdmin
針對Active Directory/LDAP 或OpenID Connect 使用者管理組態的 MinIO 部署應該改為建立用於儲存桶複寫的專用存取金鑰。
以下原則提供啟用將複寫資料同步到部署的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetBucketObjectLockConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationOnBucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ReplicateTags",
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:PutObject",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:DeleteObject",
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicatingDataIntoBucket"
}
]
}
"EnableReplicationOnBucket"語句授予遠端目標權限,使其能夠檢索 MinIO 部署中所有儲存桶的儲存桶層級組態,以支援複寫操作。若要將政策限制於特定儲存桶,請在Resource陣列中指定這些儲存桶,類似於"arn:aws:s3:::bucketName"。"EnableReplicatingDataIntoBucket"語句授予遠端目標權限,使其能夠將資料同步到 MinIO 部署中的任何儲存桶。若要將政策限制於特定儲存桶,請在Resource陣列中指定這些儲存桶,類似於"arn:aws:s3:::bucketName/*"。
以下程式碼會建立一個具有必要政策的 MinIO 管理的使用者。將 TARGET 取代為您正在配置複寫的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationRemoteUserPolicy.json | \
mc admin policy create TARGET ReplicationRemoteUserPolicy /dev/stdin
mc admin user add TARGET ReplicationRemoteUser LongRandomSecretKey
mc admin policy attach TARGET ReplicationRemoteUserPolicy --user=ReplicationRemoteUser
針對Active Directory/LDAP 或OpenID Connect 使用者管理組態的 MinIO 部署應該改為建立用於儲存桶複寫的專用存取金鑰。
請參閱 mc admin user、mc admin user svcacct 和 mc admin policy,以取得有關將使用者、存取金鑰和政策新增至 MinIO 部署的更完整文件。
符合儲存桶複寫的物件加密設定
MinIO 支援使用 SSE-KMS 和 SSE-S3 加密的物件的複寫
對於使用 SSE-KMS 加密的物件,MinIO 要求目標儲存桶使用與用於加密來源儲存桶上物件的相同金鑰名稱來支援物件的 SSE-KMS 加密。
對於使用 SSE-S3 加密的物件,MinIO 要求目標儲存桶也支援物件的 SSE-S3 加密,無論金鑰名稱為何。
作為複寫過程的一部分,MinIO 會解密來源儲存桶上的物件,並透過網路傳輸未加密的物件。然後,目標 MinIO 部署會使用目標的加密設定重新加密物件。因此,MinIO 強烈建議在來源和目標部署上啟用 TLS,以確保物件在傳輸過程中的安全。
MinIO 不支援複寫用戶端加密的物件 (SSE-C)。
儲存桶複寫需要 MinIO 部署
MinIO 伺服器端複寫僅在 MinIO 部署之間運作。來源和目標部署都必須執行具有相符版本的 MinIO 伺服器。
若要在任意 S3 相容服務之間設定複寫,請使用 mc mirror。
複寫需要版本控制
MinIO 依賴 版本控制 提供的不可變性保護來支援複寫和重新同步。
使用 mc version info 來驗證來源和遠端儲存桶的版本控制狀態。使用 mc version enable 命令來根據需要啟用版本控制。
如果您從來源儲存桶中的版本控制中排除前綴或資料夾,MinIO 將無法複寫該資料夾或前綴中的物件。
符合儲存桶複寫的物件鎖定狀態
MinIO 支援複寫在 WORM 鎖定下持有的物件。複寫儲存桶都必須啟用物件鎖定,MinIO 才能複寫鎖定的物件。對於主動-主動設定,MinIO 建議在兩個儲存桶上使用相同的保留規則,以確保跨站台的一致行為。
您必須按照 S3 行為在儲存桶建立期間啟用物件鎖定。然後,您可以隨時設定物件保留規則。在此程序開始之前,請在不正常的目標儲存桶上設定必要的規則。
