文档

核心管理概念

以下核心概念是管理 MinIO 部署(包括但不限于对象保留、加密和访问管理)的基础。

什么是对象存储?

一个对象是二进制数据,有时称为二进制大型对象 (BLOB)。Blob 可以是图像、音频文件、电子表格,甚至二进制可执行代码。像 MinIO 这样的对象存储平台提供了用于存储、检索和搜索 blob 的专用工具和功能。

MinIO 对象存储使用存储桶来组织对象。存储桶类似于文件系统中的文件夹或目录,每个存储桶可以容纳任意数量的对象。MinIO 存储桶提供与 AWS S3 存储桶相同的功能。

例如,考虑一个托管 Web 博客的应用程序。该应用程序需要存储各种 blob,包括丰富的多媒体内容,如视频和图像。

MinIO 通过前缀功能支持多级嵌套目录,以支持最具动态性的对象存储工作负载。

MinIO 如何确定对对象的访问权限?

MinIO 要求客户端对每次新操作都执行身份验证和授权。身份和访问管理 (IAM)因此是 MinIO 配置的关键组成部分。

身份验证用于验证连接客户端的身份。MinIO 要求客户端使用 AWS 签名版本 4 协议 进行身份验证,并支持已弃用的签名版本 2 协议。具体来说,客户端必须提供有效的访问密钥和密钥才能访问任何 S3 或 MinIO 管理 API,例如 PUTGETDELETE 操作。

然后,MinIO 会检查经过身份验证的用户或客户端是否授权在部署中执行操作或使用资源。MinIO 使用 基于策略的访问控制 (PBAC),其中每个策略描述一个或多个规则,这些规则概述了用户或用户组的权限。MinIO 在创建策略时支持 S3 特定的 操作条件

默认情况下,MinIO 会拒绝对用户分配或继承的策略中未明确引用的操作或资源的访问。

MinIO 将访问管理功能作为软件的一部分提供。或者,您可以配置 MinIO 以使用以下任一方法与多个外部 IAM 提供程序进行身份验证:Active Directory/LDAPOpenID/OIDC

MinIO 如何保护数据?

MinIO 支持在驱动器上编码对象(静态加密)以及在对象从一个位置传输到另一个位置期间(传输加密,或“飞行中”加密)的方法。启用后,MinIO 会利用 服务器端加密 以加密状态写入对象。要检索和读取加密对象,用户必须具有相应的访问权限,并且还必须提供对象的解密密钥。

MinIO 支持传输层安全性 (TLS) 版本 1.2 和 1.3 加密对象。TLS 取代了以前使用的安全套接字层 (SSL) 方法,该方法现已弃用。TLS 标准由互联网工程任务组 (IETF) 维护,它提供了互联网通信用于支持加密、身份验证和数据完整性的标准。

对用户进行身份验证并验证对对象的访问的过程称为TLS 握手。身份验证后,TLS 会提供用于加密然后解密从服务器到请求客户端的信息传输的密码。

MinIO 支持多种 服务器端加密 方法。

我可以在桶中以文件夹结构组织对象吗?

MinIO 使用每个对象的 前缀 方法来模拟传统文件系统中的文件夹结构。前缀涉及使用固定字符串作为对象名称的前缀。

使用前缀,您无需手动创建文件夹和子文件夹。相反,MinIO 会在对象名称的前缀中查找 / 字符。每个 / 表示一个新的文件夹或子文件夹。

MinIO 使用对象的名称和前缀自动生成一系列文件夹和子文件夹以存储对象。当您在多个对象上使用相同的前缀字符串时,MinIO 会将它们识别为类似或分组的对象。

例如,名为 /articles/john.doe/2022-01-02-MinIO-Object-Storage.md 的对象最终位于名为 john.doe 的文件夹中,该文件夹位于 articles 桶中。

MinIO 对象存储可能类似于以下结构,其中包含三个桶。MinIO 根据这些对象的​​前缀自动在 articles 桶中生成两个文件夹。

/ #root
/images/
   2022-01-02-MinIO-Diagram.png
   2022-01-03-MinIO-Advanced-Deployment.png
   MinIO-Logo.png
/videos/
   2022-01-04-MinIO-Interview.mp4
/articles/
   /john.doe/
      2022-01-02-MinIO-Object-Storage.md
      2022-01-02-MinIO-Object-Storage-comments.json
   /jane.doe/
      2022-01-03-MinIO-Advanced-Deployment.png
      2022-01-02-MinIO-Advanced-Deployment-comments.json
      2022-01-04-MinIO-Interview.md

MinIO 本身不会限制任何特定前缀可以包含的对象数量。但是,硬件和网络状况可能会对大型前缀的性能产生影响。

  • 使用适度或以预算为中心的硬件的部署应将其工作负载架构设计为以每个前缀 10,000 个对象为基准。根据基准测试和对实际工作负载的监控,将此目标提高到硬件可以有效处理的程度。

  • 使用高性能或企业级 硬件 的部署通常可以处理包含数百万个或更多对象的​​前缀。

MinIO SUBNET 企业帐户可以利用年度架构审查作为部署和维护策略的一部分,以确保 MinIO 相关项目的长期性能和成功。

有关限制前缀内容的好处的更深入讨论,请参阅有关 优化 S3 性能 的文章。

我如何备份和还原 MinIO 上的对象?

MinIO 提供两种类型的复制来复制对象、其版本及其元数据,并将它们从一个位置复制到另一个位置。您可以在 桶级别站点级别 配置复制。

  • 桶级复制可以作为单向、主动-被动复制(例如用于存档目的)或作为双向、主动-主动复制来保持两个桶彼此同步。

  • 站点级复制充当双向、主动-主动复制,以使多个数据位置(例如不同的地理数据中心)彼此同步。

除了复制之外,MinIO 还提供镜像服务。 mc mirror 仅将实际对象复制到任何其他与 S3 兼容的数据存储中,包括其他 MinIO 存储。但是,版本和元数据不会与 mc mirror 命令一起备份。

驱动器的独占访问

MinIO **要求**对用于对象存储的驱动器或卷具有独占访问权限。任何其他进程、软件、脚本或人员都不应直接对提供给 MinIO 的驱动器或卷或 MinIO 在其上放置的对象或文件执行任何操作。

除非 MinIO 工程师指示,否则请勿使用脚本或工具直接修改、删除或移动提供的驱动器上的任何数据分片、奇偶校验分片或元数据文件,包括从一个驱动器或节点移动到另一个驱动器或节点。此类操作极有可能导致广泛的损坏和数据丢失,超出 MinIO 的修复能力。

MinIO 提供哪些工具来根据速度和访问频率管理对象?

分层规则 允许经常访问的对象存储在热存储或暖存储中,这通常更昂贵,但提供更好的性能。

不太常访问的对象可以移动到冷存储。冷存储通常以较低的性能换取更低的价格。

MinIO 如何防止意外覆盖或删除对象?

锁定

锁定(一次写入多次读取 (WORM) 机制)可防止删除或修改对象。锁定后,MinIO 会无限期保留对象,直到有人移除锁定或锁定过期。

MinIO 提供

  • 法律保留 锁定,供所有用户无限期保留

  • 合规性保留 锁定,供所有用户进行基于时间限制的限制

  • 治理锁定 锁定,供非特权用户进行基于时间规则的限制

版本控制

默认情况下,使用相同名称(包括前缀)写入的对象会覆盖具有相同名称的现有对象。MinIO 提供了一个配置选项来创建启用了版本控制的桶。版本控制 提供对唯一命名对象在随时间变化时的各种迭代的访问。启用后,MinIO 会将变异对象写入与原始对象不同的版本,从而允许访问原始对象和更新的已更改对象。

MinIO 桶上的其他配置决定了在桶中保留每个对象旧版本的时长。