Erasure Code 計算器 
參考硬體 設定儲存桶複製的需求
儲存桶複製使用規則將一個 MinIO 部署上的儲存桶內容同步到遠端 MinIO 部署上的儲存桶。
複製可以透過下列任何方式完成
主動-被動 符合條件的物件從來源儲存桶複製到遠端儲存桶。遠端儲存桶上的任何變更都不會複製回去。
主動-主動 對任一儲存桶的符合條件物件所做的變更會以雙向方式複製到另一個儲存桶。
多站點主動-主動 對設定為儲存桶複製的任何儲存桶上的符合條件物件所做的變更會複製到所有其他儲存桶。
在設定任何這些複製組態之前,請確保您符合以下先決條件。
設定儲存桶複製所需的權限
儲存桶複製需要在來源和目的地部署上具有特定權限,才能設定和啟用複製規則。
以下原則提供在部署上設定和啟用複製的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"admin:SetBucketTarget",
"admin:GetBucketTarget"
],
"Effect": "Allow",
"Sid": "EnableRemoteBucketConfiguration"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationRuleConfiguration"
}
]
}
"EnableRemoteBucketConfiguration"陳述式授予建立支援複製的遠端目標的權限。"EnableReplicationRuleConfiguration"陳述式授予在儲存桶上建立複製規則的權限。"arn:aws:s3:::*資源將複製權限套用至來源部署上的任何儲存桶。您可以根據需要將使用者原則限制為特定儲存桶。
下列程式碼會使用必要的原則建立MinIO 管理的使用者。將 TARGET 取代為您正在設定複製的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationAdminPolicy.json | \
mc admin policy create TARGET ReplicationAdminPolicy /dev/stdin
mc admin user add TARGET ReplicationAdmin LongRandomSecretKey
mc admin policy attach TARGET ReplicationAdminPolicy --user=ReplicationAdmin
設定為Active Directory/LDAP 或 OpenID Connect 使用者管理的 MinIO 部署應改為為儲存桶複製建立專用的 存取金鑰。
以下原則提供啟用將複製的資料同步到部署的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetBucketObjectLockConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationOnBucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ReplicateTags",
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:PutObject",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:DeleteObject",
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicatingDataIntoBucket"
}
]
}
"EnableReplicationOnBucket"陳述式授予遠端目標擷取儲存桶層級組態的權限,以便支援 MinIO 部署中所有儲存桶的複製作業。若要將原則限制為特定儲存桶,請在Resource陣列中指定這些儲存桶作為元素,類似於"arn:aws:s3:::bucketName"。"EnableReplicatingDataIntoBucket"語句授權遠端目標將資料同步到 MinIO 部署中的任何儲存桶。若要將政策限制於特定儲存桶,請在Resource陣列中將這些儲存桶指定為元素,類似於"arn:aws:s3:::bucketName/*"。
以下程式碼會建立一個具有必要政策的 MinIO 管理使用者。將 TARGET 取代為您正在設定複寫的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationRemoteUserPolicy.json | \
mc admin policy create TARGET ReplicationRemoteUserPolicy /dev/stdin
mc admin user add TARGET ReplicationRemoteUser LongRandomSecretKey
mc admin policy attach TARGET ReplicationRemoteUserPolicy --user=ReplicationRemoteUser
設定為Active Directory/LDAP 或 OpenID Connect 使用者管理的 MinIO 部署應改為為儲存桶複製建立專用的 存取金鑰。
請參閱 mc admin user、mc admin user svcacct 和 mc admin policy,以取得關於將使用者、存取金鑰和政策新增至 MinIO 部署的更完整文件。
儲存桶複寫的相符物件加密設定
MinIO 支援複寫使用 SSE-KMS 和 SSE-S3 加密的物件
對於使用 SSE-KMS 加密的物件,MinIO 要求目標儲存桶支援使用與來源儲存桶上加密物件所使用的相同金鑰名稱來對物件進行 SSE-KMS 加密。
對於使用 SSE-S3 加密的物件,MinIO 要求目標儲存桶也支援對物件進行 SSE-S3 加密,無論金鑰名稱為何。
作為複寫過程的一部分,MinIO 會解密來源儲存桶上的物件,並透過網路傳輸未加密的物件。然後,目的地 MinIO 部署會使用目標的加密設定重新加密物件。因此,MinIO 強烈建議在來源和目的地部署上啟用 TLS,以確保物件在傳輸過程中的安全。
MinIO 不支援複寫用戶端加密的物件 (SSE-C)。
儲存桶複寫需要 MinIO 部署
MinIO 伺服器端複寫僅在 MinIO 部署之間運作。來源和目的地部署必須使用相符的版本執行 MinIO Server。
若要設定任意 S3 相容服務之間的複寫,請使用 mc mirror。
複寫需要版本控制
MinIO 依賴 版本控制 提供的不可變性保護,以支援複寫和重新同步。
使用 mc version info 來驗證來源和遠端儲存桶的版本控制狀態。使用 mc version enable 命令來視需要啟用版本控制。
如果您在來源儲存桶中排除前置詞或資料夾的版本控制,MinIO 無法複寫該資料夾或前置詞中的物件。
儲存桶複寫的相符物件鎖定狀態
MinIO 支援複寫在 WORM 鎖定 下持有的物件。複寫儲存桶都必須啟用物件鎖定,MinIO 才能複寫鎖定的物件。對於主動-主動組態,MinIO 建議在兩個儲存桶上使用相同的保留規則,以確保跨站點的一致行為。
您必須依照 S3 行為在儲存桶建立期間啟用物件鎖定。然後,您可以隨時設定物件保留規則。在此程序開始之前,請在不健全的目標儲存桶上設定必要的規則。
