将对象从 MinIO 迁移到 Azure

安装和配置 mc

此过程使用 mc 对 MinIO 集群执行操作。在具有对源和目标集群的网络访问权限的机器上安装 mc。有关下载和安装 mc 的说明，请参阅 mc 安装快速入门。

使用 mc alias set 命令为源 MinIO 集群创建别名。别名创建需要为源和目标集群上的用户指定访问密钥。指定的用户必须具有 权限 来配置和应用迁移操作。

所需的 MinIO 权限

MinIO 需要以下权限，这些权限作用于你为其创建生命周期管理规则的桶或桶。

• s3:PutLifecycleConfiguration

• s3:GetLifecycleConfiguration

MinIO 还需要在您为对象转换生命周期管理规则创建远程层级的集群中具有以下管理权限。

• admin:SetTier

• admin:ListTier

例如，以下策略允许在集群中的任何存储桶上配置对象转换生命周期管理规则：。

{
   "Version": "2012-10-17",
   "Statement": [
      {
            "Action": [
               "admin:SetTier",
               "admin:ListTier"
            ],
            "Effect": "Allow",
            "Sid": "EnableRemoteTierManagement"
      },
      {
            "Action": [
               "s3:PutLifecycleConfiguration",
               "s3:GetLifecycleConfiguration"
            ],
            "Resource": [
                        "arn:aws:s3:::*"
            ],
            "Effect": "Allow",
            "Sid": "EnableLifecycleManagementRules"
      }
   ]
}

Azure 权限要求

对象转换生命周期管理规则需要在远程存储层级上具有其他权限。具体来说，MinIO 需要 Azure 凭证提供对远程存储帐户和容器的读、写、列出和删除权限。

有关配置所需权限的更完整指南，请参阅 Azure RBAC 文档。

远程存储帐户和容器必须存在

在使用该资源作为目标配置生命周期管理层级或规则之前，创建远程 Azure 存储帐户 和容器。当 创建 Azure 存储帐户 时，确保存储帐户对应于具有本地冗余存储 (LRS) 冗余选项的标准或高级 Blob 存储。MinIO 使用的 Azure Go SDK API 不支持任何其他冗余选项。

如果您设置了存储帐户 默认访问层级，则 MinIO 将使用该默认层级，前提是 您在定义远程层级时未指定 storage class。确保记录 Azure 存储帐户和 MinIO 分层配置的设置，以避免任何潜在的混淆、错误配置或其他意外结果。

有关 Azure 存储帐户的更多信息，请参阅 存储帐户。

对远程数据的独占访问权限

MinIO 需要对远程存储层级上转换后的数据具有独占访问权限。 “热” MinIO 源上的对象元数据与 “暖/冷” 远程层级上的对象数据密切相关。MinIO 无法在没有访问远程的情况下检索对象数据，也不能使用远程恢复源上丢失的元数据。

所有对转换后的对象的访问都必须通过 MinIO 通过 S3 API 操作进行。手动修改转换后的对象 - 无论是 “热” MinIO 层级上的元数据还是远程 “暖/冷” 层级上的对象数据 - 都可能导致该对象数据丢失。

MinIO 忽略远程存储桶或存储桶前缀中未由 MinIO 部署明确管理的任何对象。自动转换和透明对象检索取决于以下假设。

• 远程存储上没有外部修改、迁移或删除对象。

• 远程存储桶上没有生命周期管理规则（例如转换或过期）。

MinIO 将所有转换后的对象存储在远程存储桶或资源中的唯一每个部署前缀值下。该值不打算支持从后端识别源部署。MinIO 在配置远程目标时支持额外的可选人类可读前缀，这可能有助于与诊断、维护或灾难恢复相关的操作。

MinIO 建议为包含其他数据的远程存储层级指定此可选前缀，包括来自其他 MinIO 部署的转换后的对象。本教程包含设置此前缀的必要语法。

远程数据的可用性

MinIO 分层行为取决于远程存储在请求时立即（毫秒到秒）返回对象。因此，MinIO 不支持需要重新水化、等待时间或人工干预的远程存储。

MinIO 为每个转换后的对象创建元数据，用于识别它在远程存储上的位置。应用程序无法独立于 MinIO 轻松识别和访问转换后的对象。因此，转换后的数据的可用性取决于 擦除编码 和分布式部署拓扑为 MinIO 部署上的所有对象提供的相同核心保护。使用对象转换不会提供任何额外的业务连续性或灾难恢复优势。

需要 BC/DR 保护的工作负载应实现 MinIO 服务器端复制。复制确保对象在远程复制站点上保留，这样您就可以在发生部分或全部数据丢失的情况下从远程重新同步。有关使用复制从部分或全部数据丢失中恢复的更完整文档，请参阅 重新同步（灾难恢复）。

1) 为生命周期管理配置用户帐户和策略

此步骤在 MinIO 部署上创建用户和策略以支持生命周期管理操作。如果部署已经具有具有必要的 权限 的用户，则可以跳过此步骤。

以下示例使用 Alpha 作为 MinIO 部署的占位符 别名。将此值替换为要在其上配置生命周期管理规则的 MinIO 部署的适当别名。将密码 LongRandomSecretKey 替换为符合您组织密码生成最佳实践的长随机安全密钥。

wget -O - https://min-io.cn/docs/minio/linux/examples/LifecycleManagementAdmin.json | \
mc admin policy create Alpha LifecycleAdminPolicy /dev/stdin
mc admin user add Alpha alphaLifecycleAdmin LongRandomSecretKey
mc admin policy attach Alpha LifecycleAdminPolicy --user=alphaLifecycleAdmin

此示例假设指定的别名具有在部署上创建策略和用户的必要权限。有关 MinIO 用户和策略的更完整文档，请参阅 用户管理 和 MinIO 基于策略的访问控制。

2) 配置远程存储层级

使用 mc ilm tier add 命令添加新的远程存储层级

mc ilm tier add azure TARGET TIER_NAME \
   --account-name ACCOUNT \
   --account-key KEY \
   --bucket CONTAINER \
   --endpoint ENDPOINT \
   --prefix PREFIX \
   --storage-class STORAGE_CLASS

上面的示例使用以下参数

3) 创建和应用转换规则

使用 mc ilm rule add 命令为存储桶创建新的转换规则。以下示例配置了在指定日历天数后执行的转换。

mc ilm rule add ALIAS/BUCKET \
--transition-tier TIERNAME \
--transition-days DAYS \
--noncurrent-transition-days NONCURRENT_DAYS
--noncurrent-transition-tier TIERNAME

以上示例指定了以下参数：

4) 验证转换规则

使用 mc ilm rule ls 命令查看已配置的转换规则。

mc ilm rule ls ALIAS/PATH --transition

• 将 ALIAS 替换为 MinIO 部署的 alias。

• 将 PATH 替换为要检索已配置生命周期管理规则的存储桶的名称。