MinIO | 用於 SUSE Rancher 的 MinIO

客戶在 SUSE Rancher 上執行 MinIO 的原因有三個。

01.

部署、管理和保護類似 AWS 的基礎架構，其中 Kubernetes 提供運算基礎架構，MinIO 提供物件儲存，而 Rancher 提供統一的多叢集管理。

02.

DevOps 工具的統包多叢集部署和管理，提供自由創新，而不會鎖定或中斷，同時確保跨位置、雲端和平台的一致開發人員體驗。

03.

在 Rancher 上執行 MinIO 可控制軟體堆疊，並可彈性避免雲端鎖定，並在混合雲和多雲之間提供一致的物件儲存。

SUSE Rancher 是唯一可以管理所有 Kubernetes 發行版的企業級 Kubernetes 平台，無論底層 Linux 為何，以及它們是在公有雲、私有資料中心還是邊緣運算環境中執行。該平台旨在減少使用 Rancher Kubernetes Engine (RKE) 或雲端 Kubernetes 服務（例如 GKE、AKS 和 EKS）或邊緣的 K3s 建立、管理和保護 Kubernetes 叢集的操作負擔。SUSE Rancher 提供簡單、一致的叢集操作，包括佈建、版本管理、可見性和診斷、監控和警報以及集中式稽核。

MinIO 與 Rancher 原生整合，簡化了大規模多租戶物件儲存即服務的操作，跨越多個雲端和邊緣。MinIO Operator 適用於 Rancher 工具鏈，例如 kubectl CLI 和 Istio 服務網格，簡化了基礎架構和 DevOps 團隊的部署和管理。

MinIO 為 Rancher 提供一致、高效能和可擴展的物件儲存，因為它在設計上是 Kubernetes 原生的，並且從一開始就與 S3 相容。開發人員可以快速部署與 Amazon S3 相容的持久儲存服務，以用於在 Rancher 上執行的所有雲端原生應用程式。MinIO 在 Rancher 上的組合提供了一個強大的平台，可讓應用程式跨任何多雲和混合雲基礎架構進行擴展，並且仍然可以集中管理和保護，避免公有雲鎖定。

MinIO Operator 與原生整合
Rancher 提供以下跨多個雲端的功能

儲存類別和分層

跨 NVMe、HDD 和公有雲儲存進行分層。

外部負載平衡

使用 NGINX 輸入控制器平衡傳入請求的負載。

加密金鑰管理

使用 HashiCorp Vault 管理加密金鑰。

身分管理

使用與 OpenID Connect 相容的 Keycloak IDP 管理身分和政策。

憑證管理

使用 Rancher 憑證管理員和 Let’s Encrypt 配置和管理憑證。

監控和警報

使用 Rancher Monitoring 或 Grafana 追蹤指標和發出警報。

記錄和稽核

將記錄輸出到 Elastic Stack 以進行分析。

儲存類別和分層

在 Rancher 上大規模部署 MinIO 的關鍵要求是能夠跨儲存類別 (NVMe、HDD、公有雲) 進行分層。這使企業能夠管理成本和效能。

MinIO 支援將過時物件從快速 NVMe 層自動轉移到更具成本效益的 HDD 層，甚至是成本最佳化的冷公有雲儲存層。

分層時，MinIO 會在各層中呈現統一的命名空間。跨層的移動對應用程式是透明的，並且由客戶政策觸發。

MinIO 和 Rancher 透過在源頭加密物件，安全可靠地實現混合雲和多雲儲存，確保客戶保留對資料的完全控制權。當在公有雲內部署時，Rancher 可以有效地管理跨持久區塊儲存和更便宜的物件儲存層的資料。

Rancher 文件：設定 NGINX 負載平衡器 - 瞭解更多

將物件從 MinIO 轉換到 S3 - 瞭解更多

外部負載平衡

MinIO 的所有通訊都基於 HTTPs、RESTFUL API，並支援任何標準的 Kubernetes 相容輸入控制器。這包括基於硬體和軟體定義的解決方案。最受歡迎的選擇是 NGINX。使用 SUSE 合作夥伴軟體目錄安裝，然後使用註釋公開 MinIO 租戶。

Rancher 文件：設定 NGINX 負載平衡器 - 瞭解更多

為 MinIO 租戶配置 TLS/SSL - 瞭解更多

加密金鑰管理

我們建議使用 Rancher 密碼管理或 HashiCorp Vault 將金鑰儲存在物件儲存系統之外。這是雲端原生應用程式的最佳實務。

我們建議預設在生產環境中所有儲存貯體上啟用加密。MinIO 使用 AES-256-GCM 或 CHaCH20-Poly1305 加密來保護資料完整性和機密性，對效能的影響可忽略不計。

MinIO 支援所有三種伺服器端加密 (SSE) 模式：SSE-KMS、SSE-S3 和 SSE-C。SSE-S3 和 SSE-KMS 與伺服器端的 KMS 整合，而 SSE-C 使用客戶端提供的金鑰。MinIO 支援在 KMS 中設定儲存桶層級的預設加密金鑰，並支援 AWS-S3 語義 (SSE-S3)。客戶端也可以使用 SSE-KMS 請求標頭在 KMS 上指定個別金鑰。

MinIO 依賴外部 KMS 來引導其內部金鑰加密伺服器 (KES 服務)，以啟用高效能的物件層級加密。每個租戶都在隔離的命名空間中運行自己的 KES 伺服器。

Rancher 文件：機密 - 了解更多

使用 Vault 和 Rancher 大規模管理機密 - 了解更多

MinIO 加密和金鑰管理 - 了解更多

身分管理

Rancher 包含一個集中式的使用者驗證代理，該代理與外部 IDP 整合，以實現跨叢集的 SSO。透過第三方 OpenID Connect/LDAP 相容的身分提供者（例如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理 Kubernetes 和 MinIO 的單一登入 (SSO)。MinIO 建議使用與 OpenID Connect 相容的 Keycloak IDP。

管理員可以使用外部 IDP 集中管理使用者/應用程式身分。MinIO 增強了 IDP，提供了 AWS IAM 風格的使用者、群組、角色、原則和權杖服務 API。企業透過與基礎架構獨立且統一的身分和存取管理 (IAM) 層，獲得了顯著的架構彈性。

Rancher 文件：驗證 - 了解更多

MinIO 身分和存取管理 - 了解更多

憑證管理

TLS 用於加密所有流量，包括應用程式和 MinIO 之間的節點間流量。TLS 憑證建立網路連接資源（例如 MinIO 伺服器網域）的身分，並保護網路通訊。

MinIO 與 Rancher 憑證管理器整合，因此您可以使用 MinIO Operator 自動配置、佈建、管理和更新 MinIO 租戶的憑證。租戶在其自己的 Kubernetes 命名空間中彼此完全隔離，並具有自己的憑證，以提高安全性。

Rancher 2：使用 Ingress-Nginx 和 Cert-manager 進行 Let's Encrypt - 了解更多

MinIO 加密和金鑰管理 - 了解更多

監控和警報

MinIO 建議使用與 Prometheus 相容的系統來監控和警示 MinIO Rancher 實例。MinIO 發佈所有可以想像到的與物件儲存相關的 Prometheus 指標，從儲存桶容量到存取指標。這些指標可以在任何與 Prometheus 相容的工具或 MinIO 控制台中收集和視覺化。

外部監控解決方案會定期抓取 MinIO Prometheus 端點。MinIO 建議使用 Grafana 或安裝在 `rancher-monitoring` 專案中的平台監控元件來連接到 MinIO。這些相同的工具也可以用於建立基準並設定警示閾值以進行通知，然後可以透過 Alertmanager 將通知路由到 PagerDuty、Freshservice 甚至 SNMP 等通知平台。

Rancher 文件：監控如何運作 - 了解更多

如何使用 Prometheus 監控 MinIO 伺服器 - 了解更多