MinIO | MinIO全面支持VMware Tanzu

VMware云基础架构^TM配合 Tanzu^TM 通过包括计算、存储、网络和管理在内的全栈加速 Kubernetes 基础架构配置。通过自动且可靠地部署多个工作负载域，它可以提高管理员的工作效率，同时降低总体 TCO，从而提供更快的混合云路径。

MinIO 提供跨所有主要 Kubernetes 平台的便携式高性能对象存储系统 (亚马逊云, 微软云, Google 云, OpenShift). 开发人员可以轻松地为其在 Tanzu Application Service (TAS) 或 Tanzu Kubernetes Grid (TKGI) 上运行的所有云原生应用程序获取兼容 Amazon S3 的持久性存储服务。

通过这种集成，IT 管理员可以创建和管理租户，而无需 DevOps 技能。然后，这些管理员可以让他们的应用程序团队在 IT 功能设计的策略和安全框架内自助服务对象存储。这种方法允许组织在同一基础设施上使用容器或虚拟机——促进他们的应用程序现代化之旅。

存储类别和分层

MinIO 支持所有三种存储 vSAN 配置：vSAN、vSAN SNA、vSAN Direct。 MinIO 几乎在所有情况下都推荐 vSAN Direct，因为它提供对驱动器的直接本地访问。这相当于获得了类似 JBOD 的访问权限，使 MinIO 能够处理分布式纠删码、高可用性、容错和加密。

MinIO 中的分层使您能够经济高效地将存储容量扩展到 PB。

MinIO 可以自动将老化的对象从“热”VMware DPp 层转移到经济高效的 HDD VMware DPp 层。为了优化成本，可以将分层配置为使用公共云。例如，MinIO 可以配置为自动将对象从 DPp 层转换到 AWS S3 IA、谷歌云存储或 Azure Blob 存储。 MinIO 使用加密保护存储在 DPp 和公共云中的数据。

在 vSphere with Tanzu 中使用持久性存储 - 了解更多

从 MinIO 到 S3 的过渡对象 - 了解更多

外部负载均衡

MinIO 为在 Tanzu 中运行的应用程序自动管理 TLS。需要证书管理和入口来提供对在 Kubernetes 环境之外运行的应用程序的访问。

VMware 建议使用 Contour Ingress Controller 和 Envoy Load Balancer 扩展来跨多个目标自动分配传入的应用程序流量，包括 MinIO 租户 pod 和服务。

MinIO Operator 与 Contour 和 Envoy 扩展完全集成，以提供跨多个 MinIO 租户的自动负载平衡和路由服务。将 MinIO 租户暴露给外部流量是通过 vCenter 界面作为租户部署的一部分自动完成的。

Deploy Contour with Envoy for Ingress Control - 了解更多

Deploy a MinIO Tenant - Configure Security - 了解更多

加密密钥管理

MinIO 支持使用 Hashicorp Vault、Amazon KMS、Google Cloud KMS 和 Thales CipherTrust（以前称为 Gemalto KeySecure）进行密钥管理服务（KMS）。这些选项在 MinIO 的 vCenter 界面中可用。 MinIO 推荐 Hashicorp Vault。

对于所有生产环境，我们建议默认在所有存储桶上启用加密。 MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密来保护数据的完整性和机密性，对性能的影响可以忽略不计。

MinIO 租户需要访问已配置的 KMS，无论 KMS 是 Tanzu 基础设施的内部还是外部。 KMS 的唯一要求是提供对一个或多个客户主密钥 (CMK) 的访问权限，以便与 MinIO 服务器端加密一起使用。 MinIO 使用 CMK 大规模管理加密操作，以实现高速的每个对象服务器端加密。在创建租户期间，可以使用受支持的 KMS 自动启用服务器端加密。 MinIO 支持使用 SSE-S3 语义启用自动租户范围的对象加密和桶级加密。客户端还可以指定 SSE-KMS 标头以指定每个对象的 CMK。

Secret Management - 了解更多

Deploy a MinIO Tenant | Configure Encryption - 了解更多

MinIO 加密和密钥管理 - 了解更多

身份认证服务

在 Tanzu 上运行 MinIO 时，客户可以通过第三方 OpenID/LDAP 兼容身份提供商（如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理单点登录 (SSO)。 MinIO 预计大多数客户将使用 Microsoft Active Directory 身份平台。 MinIO 建议在 LDAP 协议上使用 OpenID Connect (OIDC)。

外部 IDP 允许管理员集中管理用户/应用程序身份。 MinIO 建立在 IDP 之上，提供 AWS IAM 风格的用户、组、角色、策略和令牌服务 API。拥有独立于基础设施的统一身份和访问管理 (IAM) 层的能力提供了显着的架构灵活性。

Enabling 身份管理 in Tanzu Kubernetes Grid - 了解更多

MinIO 身份和访问管理 - 了解更多

证书管理

从应用程序到 MinIO 的所有流量，包括节点间流量，都使用 TLS 加密。 TLS 证书用于保护网络通信并建立网络连接资源的身份，例如 MinIO 服务器。

MinIO 与任何 ACME 协议兼容的证书管理器集成，为 MinIO 租户配置、提供、管理和更新证书。租户在自己的 Kubernetes 命名空间中使用自己的证书彼此完全隔离，以提高安全性。

Simplifying TLS for Kubernetes Services - 了解更多

MinIO 加密和密钥管理 - 了解更多

监控和警报

MinIO 建议对 VMware Tanzu 监控和报警使用 Prometheus 兼容系统。 MinIO 发布了所有可以想象到的与对象存储相关的 Prometheus 指标，从桶容量到访问指标。这些指标可以在任何兼容 Prometheus 的工具或 MinIO 控制台中收集和可视化。

外部监控解决方案定期抓取 MinIO Prometheus 端点。 MinIO 根据架构目标和 Tanzu 可观察性要求推荐 Wavefront 或 Grafana。这些相同的工具也可用于建立基线和设置通知的警报阈值，然后可以将其路由到通知平台，例如 PagerDuty、Freshservice 甚至 SNMP。

Implementing Monitoring with Prometheus and Grafana - 了解更多

Tanzu Observability by Wavefront Documentation | Wavefront - 了解更多

如何使用 Prometheus 监控 MinIO 服务器 - 了解更多