MinIO | 用于红帽 OpenShift 容器平台的 MinIO

Red Hat® OpenShift® 是一个企业就绪的 Kubernetes 容器平台，具有全栈自动化操作来管理混合云、多云和边缘部署。 OpenShift 包括企业级 Linux 操作系统、容器运行时、网络、监控、注册表以及身份验证和授权解决方案。

MinIO 与 OpenShift 原生集成，使您可以更轻松地将自己的大规模多租户对象存储作为服务运行。 MinIO Operator 与 OpenShift 工具链配合使用，例如 oc OpenShift Cluster Manager CLI 和 Quay 容器注册表，确保您从对 OpenShift 生态系统的投资中获得最大收益。 MinIO for Red Hat OpenShift Container Platform

MinIO 提供一致、高性能和可扩展的对象存储，因为它在设计上是 Kubernetes 原生的，并且从一开始就兼容 S3。开发人员可以轻松地为他们在 OpenShift 上运行的所有云原生应用程序获取兼容 Amazon S3 的持久存储服务。与 AWS S3 不同，MinIO 使应用程序能够跨任何多云和混合云基础设施进行扩展，并且仍然在 OpenShift 生态系统中进行管理，而无需公共云锁定。

MinIO Operator 与 OpenShift 功能原生集成以提供：

存储类别和分层

跨 NVMe、HDD 和公共云存储分层。

外部负载均衡

使用 NGINX 入口控制器对传入请求进行负载平衡。

加密密钥管理

使用 HashiCorp Vault 管理加密密钥。

身份管理

使用 HashiCorp Vault 管理加密密钥。使用与 OpenID Connect 兼容的 Keycloak IDP 管理身份和策略。

证书管理

使用 OpenShift Certificate Manager 和 Let's Encrypt 配置和管理证书。

监控和警报

使用 OpenShift 工作负载监控或 Grafana 跟踪指标并发出警报。

日志记录和审计

将日志输出到 Elastic Stack 进行分析。

存储类别和分层

在 OpenShift 上大规模部署 MinIO 的关键要求是跨存储类（NVMe、HDD、公共云）的能力层。这使企业能够同时管理成本和性能。

MinIO 支持将老化对象从快速 NVMe 层自动过渡到更具成本效益的 HDD 层，甚至是成本优化的冷公共云存储层。

分层时，MinIO 提供了一个跨层的统一命名空间。跨层移动对应用程序是透明的，并由客户确定的策略触发。

MinIO 通过在源头加密对象来跨 OpenShift 混合云提供安全存储——确保客户始终完全控制数据。当 OpenShift 部署在公共云中时，分层功能有助于 OpenShift 跨持久块存储和更便宜的对象存储层有效地管理数据。

OpenShift | 了解持久存储 - 了解更多

从 MinIO 到 S3 的过渡对象 - 了解更多

外部负载均衡

MinIO 的所有通信都基于 HTTPs、RESTful API，并将支持任何标准的、与 Kubernetes 兼容的入口控制器。这包括基于硬件和软件定义的解决方案。最受欢迎的选择是 NGINX。使用 OperatorHub 或 OpenShift Marketplace 进行安装，然后使用注释公开 MinIO 租户。

使用 NGINX Ingress操作 - 了解更多

为 MinIO 租户配置 TLS/SSL - 了解更多

加密密钥管理

没有本机 OpenShift 密钥管理功能。因此，MinIO 建议使用 HashiCorp Vault 将密钥存储在对象存储系统之外。这是云原生应用程序的最佳实践。

对于所有生产环境，我们建议默认在所有存储桶上启用加密。 MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密来保护数据的完整性和机密性，对性能的影响可以忽略不计。

MinIO 支持所有三种服务器端加密（SSE-KMS、SSE-S3 和 SSE-C）模式。 SSE-S3 和 SSE-KMS 在服务器端与 KMS 集成，而 SSE-C 使用客户端提供的密钥。

MinIO 将使用此 KMS 来引导其内部密钥加密服务器（KES 服务）以启用高性能的每个对象加密。每个租户在隔离的命名空间中运行自己的 KES 服务器。

在 OpenShift 中集成 HashiCorp Vault 4 - 了解更多

MinIO 加密和密钥管理 - 了解更多

身份管理

在 OpenShift 上运行 MinIO 时，客户可以通过第三方 OpenID Connect/LDAP 兼容身份提供程序（如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和打开 LDAP。 MinIO 推荐 OpenID Connect 兼容的 Keycloak IDP。

外部 IDP 允许管理员集中管理用户/应用程序身份。 MinIO 建立在 IDP 之上，提供 AWS IAM 风格的用户、组、角色、策略和令牌服务 API。拥有独立于基础设施的统一身份和访问管理 (IAM) 层的能力提供了显着的架构灵活性。

OpenShift | 了解身份提供商配置 - 了解更多

MinIO 身份和访问管理 - 了解更多

证书管理

从应用程序到 MinIO 的所有流量，包括节点间流量，都使用 TLS 加密。 TLS 证书用于保护网络通信并建立网络连接资源的身份，例如 MinIO 服务器域。

MinIO 与 OpenShift 证书管理器集成，因此您可以使用 MinIO Operator 为 MinIO 租户自动配置、提供、管理和更新证书。租户在他们自己的 Kubernetes 命名空间中使用自己的证书彼此完全隔离，以提高安全性。

OpenShift 和 Let's Encrypt - 了解更多

MinIO 加密和密钥管理 - 了解更多

监控和警报

MinIO 建议使用 Grafana（安装在 OpenShift-user-workload-monitoring 项目中的平台监控组件）或任何其他 OpenShift 容器监控工具来连接到 MinIO。 MinIO 发布了所有可以想象到的与对象存储相关的 Prometheus 指标，从桶容量到访问指标。这些指标可以在任何与 Prometheus 兼容的工具或 MinIO 控制台中收集和可视化。

外部监控解决方案定期抓取 MinIO Prometheus 端点。 MinIO 推荐使用 Grafana 或安装在 openshift-user-workload-monitoring 项目中的平台监控组件连接到 MinIO。这些相同的工具也可用于建立基线和设置通知的警报阈值，然后可以将其路由到通知平台，例如 PagerDuty、Freshservice 甚至 SNMP。

OpenShift | 了解监控堆栈 - 了解更多

如何使用 Prometheus 监控 MinIO 服务器 - 了解更多