Erasure Code 計算器 
參考硬體 設定儲存桶複製的需求
儲存桶複製使用規則,將一個 MinIO 部署上的儲存桶內容同步到遠端 MinIO 部署上的儲存桶。
可以透過以下任何一種方式完成複製
主動-被動 符合條件的物件會從來源儲存桶複製到遠端儲存桶。遠端儲存桶上的任何變更都不會複製回來。
主動-主動 對任一儲存桶的符合條件物件所做的變更會以雙向方向複製到另一個儲存桶。
多站點主動-主動 對設定為儲存桶複製的任何儲存桶上的符合條件物件所做的變更會複製到所有其他儲存桶。
在您設定任何這些複製配置之前,請確保您滿足以下先決條件。
設定儲存桶複製所需的權限
儲存桶複製需要在來源和目標部署上具有特定權限,才能配置和啟用複製規則。
以下原則提供在部署上配置和啟用複製的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"admin:SetBucketTarget",
"admin:GetBucketTarget"
],
"Effect": "Allow",
"Sid": "EnableRemoteBucketConfiguration"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationRuleConfiguration"
}
]
}
"EnableRemoteBucketConfiguration"陳述式授予建立遠端目標以支援複製的權限。"EnableReplicationRuleConfiguration"陳述式授予在儲存桶上建立複寫規則的權限。"arn:aws:s3:::*"資源將複寫權限應用於來源部署上的任何儲存桶。您可以根據需要將使用者政策限制為特定儲存桶。
以下程式碼會建立具有必要政策的 MinIO 管理的使用者。將 TARGET 取代為您正在設定複寫的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationAdminPolicy.json | \
mc admin policy create TARGET ReplicationAdminPolicy /dev/stdin
mc admin user add TARGET ReplicationAdmin LongRandomSecretKey
mc admin policy attach TARGET ReplicationAdminPolicy --user=ReplicationAdmin
針對 Active Directory/LDAP 或 OpenID Connect 使用者管理設定的 MinIO 部署應改為建立專用的 存取金鑰 以進行儲存桶複寫。
以下政策提供啟用將複寫資料同步到部署的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetBucketObjectLockConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationOnBucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ReplicateTags",
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:PutObject",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:DeleteObject",
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicatingDataIntoBucket"
}
]
}
"EnableReplicationOnBucket"陳述式授予遠端目標檢索儲存桶層級配置的權限,以支援 MinIO 部署中所有儲存桶上的複寫操作。若要將政策限制為特定儲存桶,請在Resource陣列中將這些儲存桶指定為類似"arn:aws:s3:::bucketName"的元素。"EnableReplicatingDataIntoBucket"陳述式授予遠端目標將資料同步到 MinIO 部署中任何儲存桶的權限。若要將政策限制為特定儲存桶,請在Resource陣列中將這些儲存桶指定為類似"arn:aws:s3:::bucketName/*"的元素。
以下程式碼會建立具有必要政策的 MinIO 管理的使用者。將 TARGET 取代為您正在設定複寫的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationRemoteUserPolicy.json | \
mc admin policy create TARGET ReplicationRemoteUserPolicy /dev/stdin
mc admin user add TARGET ReplicationRemoteUser LongRandomSecretKey
mc admin policy attach TARGET ReplicationRemoteUserPolicy --user=ReplicationRemoteUser
針對 Active Directory/LDAP 或 OpenID Connect 使用者管理設定的 MinIO 部署應改為建立專用的 存取金鑰 以進行儲存桶複寫。
如需在 MinIO 部署中新增使用者、存取金鑰和政策的更完整文件,請參閱 mc admin user、mc admin user svcacct 和 mc admin policy。
儲存桶複寫的物件加密設定比對
MinIO 支援使用 SSE-KMS 和 SSE-S3 加密的物件的複寫
對於使用 SSE-KMS 加密的物件,MinIO 要求目標儲存桶支援使用用於加密來源儲存桶上物件的相同金鑰名稱,來對物件進行 SSE-KMS 加密。
對於使用 SSE-S3 加密的物件,無論金鑰名稱為何,MinIO 要求目標儲存桶也支援物件的 SSE-S3 加密。
作為複寫過程的一部分,MinIO 會在來源儲存桶上解密物件,並透過網路傳輸未加密的物件。然後,目的地 MinIO 部署會使用目標的加密設定重新加密物件。因此,MinIO 強烈建議在來源和目的地部署上都 啟用 TLS,以確保物件在傳輸期間的安全。
MinIO 不支援複寫用戶端加密的物件 (SSE-C)。
儲存桶複寫需要 MinIO 部署
MinIO 伺服器端複寫僅在 MinIO 部署之間有效。來源和目的地部署都必須執行具有相符版本的 MinIO 伺服器。
若要在任意與 S3 相容的服務之間設定複寫,請使用 mc mirror。
複寫需要版本控制
MinIO 依賴 版本控制 提供的不可變性保護來支援複寫和重新同步。
使用 mc version info 來驗證來源和遠端儲存桶的版本控制狀態。使用 mc version enable 命令,視需要啟用版本控制。
如果您從來源儲存桶內的版本控制中排除前置詞或資料夾,則 MinIO 無法複寫該資料夾或前置詞內的物件。
物件鎖定狀態與儲存桶複寫的比對
MinIO 支援複寫在 WORM 鎖定 下持有的物件。兩個複寫儲存桶都必須啟用物件鎖定,MinIO 才能複寫鎖定的物件。對於主動-主動組態,MinIO 建議在兩個儲存桶上使用相同的保留規則,以確保跨網站的一致行為。
您必須根據 S3 行為在儲存桶建立期間啟用物件鎖定。然後,您可以隨時設定物件保留規則。在開始此程序之前,請先在不健康的目標儲存桶上設定必要的規則。
