MinIO | 適用於 Red Hat OpenShift 容器平台的 MinIO

客戶在 Red Hat OpenShift 上執行 MinIO 的原因有三。

01.

建立並控制類似 AWS 的基礎架構，其中 Kubernetes 提供運算基礎架構，而 MinIO 提供物件儲存。

02.

統一不同的孤島（企業 IT、資料/HDFS 和現代工作負載/應用程式），以提高效率、安全性和彈性。

03.

在 OpenShift 上執行 MinIO 可以控制軟體堆疊，並具有避免雲端鎖定的彈性。

Red Hat® OpenShift® 是一個企業級的 Kubernetes 容器平台，具有全堆疊自動化操作，可管理混合雲、多雲和邊緣部署。OpenShift 包括企業級 Linux 作業系統、容器執行階段、網路、監控、登錄檔以及驗證和授權解決方案。

MinIO 原生整合 OpenShift，使其更容易將您自己的大型多租戶物件儲存作為服務來運作。MinIO Operator 與 OpenShift 工具鏈（例如 oc OpenShift 叢集管理員 CLI 和 Quay 容器登錄檔）協同工作，確保您充分利用對 OpenShift 生態系統的投資。

MinIO for Red Hat OpenShift Container Platform

MinIO 提供一致、高效能且可擴展的物件儲存，因為它在設計上是 Kubernetes 原生，並且從一開始就與 S3 相容。開發人員可以輕鬆獲得與 Amazon S3 相容的持久儲存服務，用於在 OpenShift 上執行的所有雲端原生應用程式。與 AWS S3 不同，MinIO 使應用程式能夠跨任何多雲和混合雲基礎架構進行擴展，並且仍然在 OpenShift 生態系統中進行管理，而無需公有雲鎖定。

MinIO Operator 與 OpenShift 功能原生整合，以提供

儲存類別和分層

跨 NVMe、HDD 和公有雲儲存進行分層。

外部負載平衡

使用 NGINX Ingress Controller 平衡傳入請求的負載。

加密金鑰管理

使用 HashiCorp Vault 管理加密金鑰。

身分管理

使用與 OpenID Connect 相容的 Keycloak IDP 管理身分和原則。

憑證管理

使用 OpenShift Certificate Manager 和 Let’s Encrypt 設定和管理憑證。

監控和警示

使用 OpenShift 工作負載監控或 Grafana 追蹤指標並發出警示。

記錄和稽核

將記錄輸出到 Elastic Stack 以進行分析。

儲存類別和分層

在 OpenShift 上大規模部署 MinIO 的主要要求是能夠跨儲存類別（NVMe、HDD、公有雲）進行分層。這讓企業可以管理成本和效能。

MinIO 支援將老舊物件從快速 NVMe 層自動轉換為更具成本效益的 HDD 層，甚至轉換為經過成本最佳化的冷公有雲儲存層。

在分層時，MinIO 會在各層之間呈現統一的命名空間。各層之間的移動對應用程式是透明的，並由客戶決定的原則觸發。

MinIO 透過直接在來源加密物件來提供跨 OpenShift 混合雲的安全儲存，確保客戶始終完全控制資料。當 OpenShift 部署在公有雲內部時，分層功能可協助 OpenShift 有效率地管理跨持久性區塊儲存和更便宜的物件儲存層的資料。

OpenShift | 了解持久性儲存 - 了解更多

將物件從 MinIO 轉換為 S3 - 了解更多

外部負載平衡

MinIO 的所有通訊都基於 HTTPs、RESTful API，並將支援任何標準、與 Kubernetes 相容的 Ingress Controller。這包括基於硬體和軟體定義的解決方案。最受歡迎的選擇是 NGINX。使用 OperatorHub 或 OpenShift Marketplace 進行安裝，然後使用註釋公開 MinIO 租戶。

使用 NGINX Ingress Operator - 了解更多

為 MinIO 租戶設定 TLS/SSL - 了解更多

加密金鑰管理

沒有原生的 OpenShift 金鑰管理功能。因此，MinIO 建議使用 HashiCorp Vault 將金鑰儲存在物件儲存系統之外。這是雲端原生應用程式的最佳實務。

對於所有生產環境，我們建議預設在所有儲存貯體上啟用加密。MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密來保護資料完整性和機密性，且效能影響微乎其微。

MinIO 支援所有三種伺服器端加密 (SSE-KMS、SSE-S3 和 SSE-C) 模式。SSE-S3 和 SSE-KMS 與伺服器端的 KMS 整合，而 SSE-C 使用用戶端提供的金鑰。

MinIO 將使用此 KMS 來啟動其內部金鑰加密伺服器 (KES 服務)，以啟用高效能的每個物件加密。每個租戶都會在獨立的命名空間中執行自己的 KES 伺服器。

在 OpenShift 4 中整合 HashiCorp Vault - 了解更多

MinIO 加密和金鑰管理 - 了解更多

身分管理

在 OpenShift 上執行 MinIO 時，客戶可以透過第三方 OpenID Connect/LDAP 相容的身分提供者（如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理單一登入 (SSO)。MinIO 建議使用與 OpenID Connect 相容的 Keycloak IDP。

外部 IDP 允許管理員集中管理使用者/應用程式身分。MinIO 建構於 IDP 之上，提供 AWS IAM 風格的使用者、群組、角色、原則和權杖服務 API。擁有獨立於基礎架構的統一身分和存取管理 (IAM) 層的能力，提供了顯著的架構彈性。

OpenShift | 了解身分提供者配置 - 了解更多

MinIO 身分與存取管理 - 了解更多

憑證管理

從應用程式到 MinIO 的所有流量，包括節點間流量，都使用 TLS 加密。TLS 憑證用於保護網路通訊並建立網路連接資源（如 MinIO 伺服器網域）的身分。

MinIO 與 OpenShift 憑證管理員整合，因此您可以使用 MinIO Operator 自動配置、佈建、管理和更新 MinIO 租戶的憑證。租戶在各自的 Kubernetes 命名空間中完全隔離，並擁有自己的憑證，以提高安全性。

OpenShift 和 Let’s Encrypt - 了解更多

MinIO 加密和金鑰管理 - 了解更多

監控和警示

MinIO 建議使用 Grafana、OpenShift-user-workload-monitoring 專案中安裝的平台監控元件，或任何其他 OpenShift 容器監控工具來連線至 MinIO。MinIO 發布所有可以想像到的物件儲存相關 Prometheus 指標，從儲存桶容量到存取指標。這些指標可以在任何與 Prometheus 相容的工具或 MinIO Console 中收集和視覺化。

外部監控解決方案會定期抓取 MinIO Prometheus 端點。MinIO 建議使用 Grafana 或 openshift-user-workload-monitoring 專案中安裝的平台監控元件來連線至 MinIO。這些相同的工具也可用於建立基準，並為通知設定警報閾值，然後可以將通知路由到諸如 PagerDuty、Freshservice 甚至 SNMP 等通知平台。

OpenShift | 了解監控堆疊 - 了解更多

如何使用 Prometheus 監控 MinIO 伺服器 - 了解更多