MinIO | MinIO for VMware Tanzu - MinIO 物件儲存

客戶在 VMware Tanzu 上執行 MinIO 的原因有三個。

01.

MinIO 已預先捆綁在 vSphere 7.x 及更高版本中，並提供與 vSAN 資料持久性平台和 VMware Cloud Foundations 資料服務管理器的原生整合。

02.

VMware 客戶只需在 vCenter 主控台中點擊幾下，即可快速輕鬆地部署多租戶物件儲存即服務。

03.

透過使用稱為 vSAN Direct 的特定 DPp 整合，客戶可以實現對底層硬體的直接控制，以提供更高的效能、可擴展性和安全性。

VMware Cloud Foundation^TM 與 Tanzu^TM 加速了 Kubernetes 基礎架構的配置，其完整的堆疊包含運算、儲存、網路和管理。透過自動且可靠地部署多個工作負載域，它提高了管理員的生產力，同時降低了總擁有成本，從而實現了更快地通往混合雲的道路。

開發人員可以輕鬆獲得與 Amazon S3 相容的持久儲存服務，適用於在 Tanzu Application Service (TAS) 或 Tanzu Kubernetes Grid (TKG) 上運行的所有雲原生應用程式。

透過這種整合，IT 管理員可以創建和管理租戶，而無需 DevOps 技能。然後，這些管理員可以使他們的應用程式團隊在 IT 功能設計的政策和安全框架內自助物件儲存。這種方法允許組織在相同的基礎架構上部署容器或虛擬機，從而促進其應用程式現代化之旅。

儲存類別和分層

MinIO 支援所有三種儲存 vSAN 配置：vSAN、vSAN SNA、vSAN Direct。在幾乎所有情況下，MinIO 都建議使用 vSAN Direct，因為它可以直接本地存取磁碟機。這相當於獲得類似 JBOD 的存取權限，使 MinIO 能夠處理分散式糾刪碼、高可用性、容錯和加密。

MinIO 內的分層使您可以經濟高效地將儲存容量擴展到 PB 級。

MinIO 可以自動將老化的物件從「熱」VMware DPp 層轉移到經濟高效的 HDD VMware DPp 層。為了優化成本，可以將分層配置為使用公有雲。例如，可以將 MinIO 配置為自動將物件從 DPp 層轉移到 AWS S3 IA、Google Cloud Storage 或 Azure Blob Storage。MinIO 使用加密來保護儲存在 DPp 和公有雲中的資料。

在 vSphere 中使用 Tanzu 的持久儲存 - 了解更多

將物件從 MinIO 轉移到 S3 - 了解更多

外部負載平衡

MinIO 會自動管理在 Tanzu 中運行的應用程式的 TLS。需要憑證管理和入口才能提供對在 Kubernetes 環境外部運行的應用程式的存取權限。

VMware 建議使用 Contour 入口控制器和 Envoy 負載平衡器擴充功能，以自動將傳入的應用程式流量分配到多個目標，包括 MinIO 租戶 Pod 和服務。

MinIO Operator 與 Contour 和 Envoy 擴充功能完全整合，以在多個 MinIO 租戶之間提供自動負載平衡和路由服務。透過 vCenter 介面在租戶部署期間，會自動將 MinIO 租戶暴露給外部流量。

使用 Envoy 部署 Contour 以進行入口控制 - 了解更多

部署 MinIO 租戶 - 配置安全性 - 了解更多

加密金鑰管理

MinIO 支援使用 Hashicorp Vault、Amazon KMS、Google Cloud KMS 和 Thales CipherTrust（以前稱為 Gemalto KeySecure）進行金鑰管理服務 (KMS)。這些選項可在 MinIO 的 vCenter 介面中使用。MinIO 建議使用 Hashicorp Vault。

對於所有生產環境，我們建議預設在所有儲存桶上啟用加密。MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密來保護資料完整性和機密性，而效能影響可忽略不計。

MinIO 租戶需要存取已配置的 KMS，無論 KMS 是在 Tanzu 基礎架構的內部還是外部。KMS 的唯一要求是提供對一個或多個客戶主金鑰 (CMK) 的存取權限，以用於 MinIO 伺服器端加密。MinIO 使用 CMK 大規模管理密碼編譯操作，以實現每個物件的伺服器端加密，且速度很快。伺服器端加密可以在建立租戶期間使用受支援的 KMS 自動啟用。MinIO 支援使用 SSE-S3 語意啟用自動租戶範圍的物件加密和儲存桶級加密。用戶端也可以指定 SSE-KMS 標頭來指定每個物件的 CMK。

機密管理 - 了解更多

部署 MinIO 租戶 | 設定加密 - 了解更多

MinIO 加密與金鑰管理 - 了解更多

身分識別服務

在 Tanzu 上運行 MinIO 時，客戶可以透過第三方 OpenID/LDAP 相容的身分提供者（例如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理單一登入 (SSO)。MinIO 預期大多數客戶將使用 Microsoft Active Directory 身分識別平台。MinIO 建議使用 OpenID Connect (OIDC) 協議，而非 LDAP 協議。

外部 IDP 允許管理員集中管理使用者/應用程式身分。MinIO 建構在 IDP 之上，提供 AWS IAM 風格的使用者、群組、角色、政策和令牌服務 API。擁有獨立於基礎架構的統一身分和存取管理 (IAM) 層的能力，提供了顯著的架構彈性。

在 Tanzu Kubernetes Grid 中啟用身分管理 - 了解更多

MinIO 身分和存取管理 - 了解更多

憑證管理

從應用程式到 MinIO 的所有流量，包括節點間流量，都使用 TLS 加密。TLS 憑證用於保護網路通訊，並建立網路連接資源（例如 MinIO 伺服器）的身分。

MinIO 與任何相容 ACME 協議的憑證管理員整合，以配置、佈建、管理和更新 MinIO 租戶的憑證。這些租戶在各自的 Kubernetes 命名空間中完全隔離，並擁有自己的憑證以提高安全性。

簡化 Kubernetes 服務的 TLS - 了解更多

MinIO 加密與金鑰管理 - 了解更多

監控和警報

MinIO 建議使用與 Prometheus 相容的系統來進行 VMware Tanzu 監控和警報。MinIO 發布了每個與物件儲存相關的 Prometheus 指標，從儲存桶容量到存取指標。這些指標可以在任何與 Prometheus 相容的工具或 MinIO 主控台中收集和視覺化。

外部監控解決方案定期抓取 MinIO Prometheus 端點。MinIO 建議根據架構目標和 Tanzu 可觀測性需求，使用 Wavefront 或 Grafana。這些相同的工具也可用於建立基準線和設定通知的警報閾值，然後將其路由到通知平台，例如 PagerDuty、Freshservice 甚至 SNMP。

使用 Prometheus 和 Grafana 實施監控 - 了解更多

Wavefront 文件的 Tanzu 可觀測性 | Wavefront - 了解更多

如何使用 Prometheus 監控 MinIO 伺服器 - 了解更多