Erasure Code 計算器 
參考硬體 設定儲存桶複製的要求
儲存桶複製使用規則將一個 MinIO 部署上的儲存桶內容同步到遠端 MinIO 部署上的儲存桶。
複製可以透過下列任何方式完成
主動-被動 符合條件的物件從來源儲存桶複製到遠端儲存桶。遠端儲存桶上的任何變更都不會複製回來。
主動-主動 對任一儲存桶的合格物件所做的變更會以雙向方式複製到另一個儲存桶。
多站點主動-主動 對設定為儲存桶複製的任何儲存桶上的符合條件物件所做的變更會複製到所有其他儲存桶。
在設定任何這些複製組態之前,請確保您符合下列先決條件。
設定儲存桶複製所需的權限
儲存桶複製需要在來源和目的地部署上具有特定權限,才能設定和啟用複製規則。
下列政策提供在部署上設定和啟用複製的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"admin:SetBucketTarget",
"admin:GetBucketTarget"
],
"Effect": "Allow",
"Sid": "EnableRemoteBucketConfiguration"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationRuleConfiguration"
}
]
}
"EnableRemoteBucketConfiguration"陳述式授予建立遠端目標以支援複製的權限。"EnableReplicationRuleConfiguration"陳述式授予在儲存桶上建立複製規則的權限。"arn:aws:s3:::*"資源將複製權限套用至來源部署上的任何儲存桶。您可以根據需要將使用者政策限制為特定儲存桶。
下列程式碼會建立具有必要政策的 MinIO 管理使用者。將 TARGET 取代為您要在其上設定複製的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationAdminPolicy.json | \
mc admin policy create TARGET ReplicationAdminPolicy /dev/stdin
mc admin user add TARGET ReplicationAdmin LongRandomSecretKey
mc admin policy attach TARGET ReplicationAdminPolicy --user=ReplicationAdmin
針對 Active Directory/LDAP 或 OpenID Connect 使用者管理設定的 MinIO 部署應改為建立專用的 存取金鑰 用於儲存桶複製。
下列政策提供啟用將複製資料同步到部署的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:GetBucketObjectLockConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicationOnBucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ReplicateTags",
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:PutObject",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:DeleteObject",
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::*"
],
"Sid": "EnableReplicatingDataIntoBucket"
}
]
}
"EnableReplicationOnBucket"陳述式授予遠端目標權限,以檢索 MinIO 部署中所有儲存體的儲存體層級組態,以支援複寫操作。若要將原則限制為特定儲存體,請在Resource陣列中指定這些儲存體,類似於"arn:aws:s3:::bucketName"。"EnableReplicatingDataIntoBucket"陳述式授予遠端目標權限,以將資料同步到 MinIO 部署中的任何儲存體。若要將原則限制為特定儲存體,請在Resource陣列中指定這些儲存體,類似於"arn:aws:s3:::bucketName/*"。
以下程式碼會建立一個具有必要原則的 MinIO 管理使用者。將 TARGET 替換為您正在設定複寫的 MinIO 部署的 別名
wget -O - https://minio.dev.org.tw/docs/minio/linux/examples/ReplicationRemoteUserPolicy.json | \
mc admin policy create TARGET ReplicationRemoteUserPolicy /dev/stdin
mc admin user add TARGET ReplicationRemoteUser LongRandomSecretKey
mc admin policy attach TARGET ReplicationRemoteUserPolicy --user=ReplicationRemoteUser
針對 Active Directory/LDAP 或 OpenID Connect 使用者管理設定的 MinIO 部署應改為建立專用的 存取金鑰 用於儲存桶複製。
請參閱 mc admin user、 mc admin user svcacct 和 mc admin policy,以取得有關向 MinIO 部署新增使用者、存取金鑰和原則的更完整文件。
儲存體複寫的物件加密設定比對
MinIO 支援使用 SSE-KMS 和 SSE-S3 加密的物件複寫
對於使用 SSE-KMS 加密的物件,MinIO要求目標儲存體使用用於加密來源儲存體上物件的相同金鑰名稱來支援物件的 SSE-KMS 加密。
對於使用 SSE-S3 加密的物件,MinIO要求目標儲存體也支援物件的 SSE-S3 加密,無論金鑰名稱為何。
作為複寫過程的一部分,MinIO 會解密來源儲存體上的物件,並透過網路傳輸未加密的物件。然後,目標 MinIO 部署會使用目標的加密設定重新加密物件。因此,MinIO強烈建議在來源和目標部署上啟用 TLS,以確保物件在傳輸過程中的安全。
MinIO 不支援複寫用戶端加密物件 (SSE-C)。
儲存體複寫需要 MinIO 部署
MinIO 伺服器端複寫僅在 MinIO 部署之間運作。來源和目標部署都必須執行具有相符版本的 MinIO Server。
若要在任意 S3 相容服務之間設定複寫,請使用 mc mirror。
複寫需要版本控制
MinIO 依賴 版本控制 提供的不可變性保護來支援複寫和重新同步。
使用 mc version info 來驗證來源和遠端儲存體的版本控制狀態。使用 mc version enable 命令來根據需要啟用版本控制。
如果您從來源儲存體中的版本控制中排除前綴或資料夾,MinIO 將無法複寫該資料夾或前綴內的物件。
儲存體複寫的物件鎖定狀態比對
MinIO 支援複寫在 WORM 鎖定 下持有的物件。兩個複寫儲存體必須都啟用物件鎖定,MinIO 才能複寫鎖定的物件。對於主動-主動配置,MinIO 建議在兩個儲存體上使用相同的保留規則,以確保跨站點的一致行為。
您必須按照 S3 行為,在建立儲存體期間啟用物件鎖定。然後,您可以隨時設定物件保留規則。在本程序開始之前,在不健全的目標儲存體上設定必要的規則。
