用于GoogleKubernetes 引擎的MinIO 服务

客户出于三个原因在 Google Kubernetes Engine (GKE) 上运行 MinIO。

01.
MinIO 在混合云或多云部署场景中充当一致的存储层。
02.
MinIO 是 Kubernetes 原生和高性能,它可以在公共、私有和边缘云环境中提供可预测的性能.
03.
在 GKE 上运行 MinIO 可以控制软件堆栈,并具有避免云锁定所需的随之而来的灵活性。

Google Kubernetes Engine (GKE) 提供高度自动化、安全且完全托管的 Kubernetes 平台。 GKE 利用高可用性控制平面来支持多区域和区域集群。 MinIO Operator 使用标准的 Kubernetes 结构(如 StorageClass 和 Annotations)与 GKE 原生集成。

MinIO使用于谷歌云的Kubernetes 引擎

MinIO 提供跨所有主要 Kubernetes 平台的便携式高性能对象存储系统(亚马逊云微软件云, 探祖 , OpenShift)。 开发人员可以轻松地为其在 GKE 上运行的所有云原生应用程序获取兼容 Amazon S3 的持久存储服务。 与 AWS S3 不同,MinIO 使应用程序能够跨任何多云和混合云基础设施进行扩展,而无需昂贵的软件重写或专有集成。

MinIO Operator 与 GKE 和 GCP 功能原生集成,以提供:

存储类别和分层
存储类别和分层
跨 GKE 标准 SSD、谷歌云存储和 GCS 进行数据归档。
External Load Balancing
外部负载均衡
使用 GCP Cloud Load Balancing 对传入请求进行负载平衡。
加密密钥管理
加密密钥管理
使用 GCP Cloud Key Management 管理加密密钥。
身份管理
身份管理
使用 GCP Cloud Identity 管理身份和策略。
证书管理
证书管理
使用 GKE 托管证书配置和管理证书。
监控和警报
监控和警报
使用 Google Cloud Stackdriver 跟踪指标并发出警报。
日志记录和审计
日志记录和审计
将日志输出到 GCP Cloud Logging 或 Elastic Stack 以供分析。

存储类别和分层

在 GKE 和 GCP 上大规模部署 MinIO 的一个关键要求是能够跨 Google Cloud 存储类型转换对象。 具体来说,您需要支持成本优化的“热-温”和“热-冷”部署拓扑。

MinIO 可以使用 GCS 存储桶作为远程层,根据用户配置的规则自动转换老化对象。 例如,您可以创建一个规则将对象转换到具有 GCS 标准存储类的层,而另一个规则将对象转换到具有 GCS Nearline 存储类的层。

MinIO 支持转换一个对象一次 - 所以虽然你不能从 MinIO 配置“瀑布式”或“链式”转换 - > 标准 -> 近线,您可以使用前缀和对象标签为每个存储桶配置多个规则,以将精细的转换行为应用于首选的远程层。 MinIO 的唯一要求是远程存储必须支持立即检索对象——没有再水化、延迟或等待时间。

MinIO 分层不需要客户端逻辑更改。 您的客户可以继续通过 MinIO 请求对象,MinIO 处理从 GCS 检索对象并透明地返回它。 MinIO 还支持使用 S3 恢复 API 将对象返回到“热”MinIO 部署。

MinIO 的分层功能扩展到混合云环境,其中 MinIO JBOD/JBOF 部署充当私有云上性能优化的“热”层,而 GCS 提供成本优化的“暖”和 “冷”层。 利用 MinIO TLS 和服务器端加密进一步保护两个云中的所有数据,包括静态数据和动态数据。

外部负载均衡

MinIO Operator 与 GCP 云负载平衡 (CLB) 紧密集成,为从 GKE 外部访问存储服务的应用程序提供跨多个 MinIO 租户的自动负载平衡和路由服务。 只需向 MinIO 租户添加注释即可将 MinIO 租户暴露给外部流量。

加密密钥管理

MinIO 建议使用谷歌云密钥管理服务在对象存储系统之外存储密钥。 对于那些具有更严格的安全要求或出于一致性目的的人,MinIO 集成了许多在 GCP 之外运行的外部密钥管理服务。

对于所有生产环境,我们建议默认在所有存储桶上启用加密。 MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密来保护数据的完整性和机密性,对性能的影响可以忽略不计。

MinIO 支持在 KMS 中设置桶级默认加密密钥,支持 亚马逊云-S3语义(SSE-S3)。 客户端还可以使用 SSE-KMS 请求标头在 KMS 上指定单独的密钥。

MinIO 将使用此 KMS 来引导其内部密钥加密服务器(KES 服务)以启用高性能的每个对象加密。 每个租户在隔离的命名空间中运行自己的 KES 服务器。

身份认证服务

在 GCP GKE 上运行 MinIO 时,客户可以通过 Google 托管的 GCP Cloud Identity 或第三方 OpenID Connect/LDAP 兼容身份提供商(如 Okta/Auth0、Google、 Facebook、Keycloak、ActiveDirectory 和 OpenLDAP。

单个集中式 IDP 允许管理员一次性添加、更改用户、服务帐户或组的权限或删除 - 并在所有公共云、私有云和边缘计算中强制执行 MinIO 服务器。 拥有独立于基础设施的统一身份和访问管理 (IAM) 层的能力提供了显着的架构灵活性。

证书管理

从应用程序到 MinIO 的所有流量,包括节点间流量,都使用 TLS 加密。 TLS 证书用于保护网络通信并建立网络连接资源的身份,例如 MinIO 服务器。

MinIO 与 GKE Managed Certificates 集成,为 MinIO 租户配置、提供、管理和更新证书。 租户在他们自己的 Kubernetes 命名空间中使用自己的证书彼此完全隔离,以提高安全性。

监控和警报

Google 云使用 Google Cloud Stackdriver 为 GKE 提供强大的监控功能。 在 GKE 上部署 MinIO 时,我们建议使用 Google Cloud Stackdriver 作为监控和报警的 Prometheus 兼容系统。 这个建议的原因是 MinIO 发布了所有可以想象到的与对象存储相关的 Prometheus 指标,从桶容量到访问指标。 这些指标可以在任何兼容 Prometheus 的工具(Stackdriver 是 GCP 的原生工具)或 MinIO 控制台中收集和可视化。

监控服务定期抓取 MinIO Prometheus 端点。 这些相同的工具还可用于建立基线和设置通知的警报阈值,然后可以将其路由到通知平台,例如 PagerDuty 或 Freshservice。

日志记录和审计

启用 MinIO 审计会为对象存储集群上的每个操作生成一个日志。 除了审计日志之外,MinIO 还记录控制台错误以用于操作故障排除目的。

MinIO 建议根据架构目标将日志输出到 GCP Cloud Logging 或 Elastic Stack。

了解更多about MinIO使用于谷歌云的Kubernetes 引擎

您使用的是 Internet Explorer 版本 11 或更低版本。由于安全问题和缺乏对 Web 标准的支持,强烈建议您升级到现代浏览器。