部署、管理和保护类似 AWS 的基础设施,其中 Kubernetes 提供计算基础设施,MinIO 提供对象存储,而 Rancher 提供统一的多集群管理。
DevOps 工具的交钥匙多集群部署和管理,提供自由创新,不受锁定或中断的影响,同时确保跨位置、云和平台的一致开发人员体验。
在 Rancher 上运行 MinIO 可以控制软件堆栈,灵活地避免云锁定,并在混合云和多云中提供一致的对象存储。
SUSE Rancher 是唯一一个管理所有 Kubernetes 发行版的企业 Kubernetes 平台,无论底层 Linux 是什么,以及它们是在公共云、私有数据中心还是边缘计算环境中运行的。该平台旨在通过 Rancher Kubernetes Engine (RKE) 或云 Kubernetes 服务(如 GKE、AKS 和 EKS)或边缘的 K3s 来减少创建、管理和保护 Kubernetes 集群的运营开销。SUSE Rancher 提供简单一致的集群操作,包括预配、版本管理、可见性和诊断、监控和警报以及集中式审计。
MinIO 与 Rancher 原生集成,简化了跨多个云和边缘的大规模多租户对象存储即服务的运营。MinIO Operator 融入 Rancher 工具链,例如 kubectl CLI 和 Istio 服务网格,简化了基础设施和 DevOps 团队的部署和管理。
MinIO 为 Rancher 提供一致、高性能且可扩展的对象存储,因为它在设计上是 Kubernetes 原生的,并且从一开始就与 S3 兼容。开发人员可以快速为在 Rancher 上运行的所有云原生应用程序部署与 Amazon S3 兼容的持久存储服务。MinIO 在 Rancher 上的组合提供了一个强大的平台,允许应用程序跨任何多云和混合云基础设施进行扩展,同时仍然可以集中管理和保护,避免公共云锁定。
在 Rancher 上大规模部署 MinIO 的关键要求是能够跨存储类(NVMe、HDD、公有云)进行分层。这使企业能够管理成本和性能。
MinIO 支持将陈旧的对象从快速 NVMe 层自动迁移到更具成本效益的 HDD 层,甚至更具成本效益的冷公有云存储层。
在分层时,MinIO 会在所有层之间呈现一个统一的命名空间。跨层移动对应用程序是透明的,并且由客户策略触发。
MinIO 和 Rancher 通过在源头加密对象来安全可靠地启用混合云和多云存储,确保客户保留对数据的完全控制权。当部署在公共云内部时,Rancher 有效地管理持久块存储和更便宜的对象存储层之间的跨数据。
MinIO 的所有通信都基于 HTTPs、RESTFUL API,并将支持任何标准的、Kubernetes 兼容的入口控制器。这包括基于硬件和软件定义的解决方案。最受欢迎的选择是 NGINX。使用 SUSE 合作伙伴软件目录 进行安装,然后使用注释公开 MinIO 租户。
我们建议使用 Rancher 密钥管理或 HashiCorp Vault 将密钥存储在对象存储系统之外。这是云原生应用程序的最佳实践。
我们建议在生产环境中对所有存储桶默认启用加密。MinIO 使用 AES-256-GCM 或 CHaCH20-Poly1305 加密来保护数据完整性和机密性,对性能的影响可忽略不计。
MinIO 支持所有三种服务器端加密(SSE-KMS、SSE-S3 和 SSE-C)模式。SSE-S3 和 SSE-KMS 与服务器端的 KMS 集成,而 SSE-C 使用客户端提供的密钥。MinIO 支持在 KMS 中设置存储桶级默认加密密钥,并支持 AWS-S3 语义 (SSE-S3)。客户端还可以使用 SSE-KMS 请求标头在 KMS 上指定单独的密钥。
MinIO 依赖于外部 KMS 来引导其内部密钥加密服务器(KES 服务),以启用高性能的按对象加密。每个租户在其隔离的命名空间中运行自己的 KES 服务器。
Rancher 包含一个集中的用户身份验证代理,它与外部 IDP 集成,以实现跨集群的单点登录 (SSO)。通过第三方 OpenID Connect/LDAP 兼容身份提供者(例如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP)管理 Kubernetes 和 MinIO 的单点登录 (SSO)。MinIO 建议使用 OpenID Connect 兼容的 Keycloak IDP。
管理员可以使用外部 IDP 集中管理用户/应用程序身份。MinIO 增强了 IDP,提供 AWS IAM 风格的用户、组、角色、策略和令牌服务 API。企业通过独立于基础设施的统一身份和访问管理 (IAM) 层获得了显著的架构灵活性。
TLS 用于加密所有流量,包括应用程序和 MinIO 之间的节点间流量。TLS 证书建立网络连接资源(如 MinIO 服务器域)的身份,并保护网络通信。
MinIO 与 Rancher 证书管理器集成,因此您可以使用 MinIO 运算符自动配置、配置、管理和更新 MinIO 租户的证书。租户在各自的 Kubernetes 命名空间中完全隔离,拥有自己的证书,以提高安全性。
MinIO 建议使用与 Prometheus 兼容的系统来监控和提醒 MinIO Rancher 实例。MinIO 发布了所有可想象的对象存储相关的 Prometheus 指标,从存储桶容量到访问指标。这些指标可以在任何与 Prometheus 兼容的工具或 MinIO 控制台中收集和可视化。
外部监控解决方案以定期间隔抓取 MinIO Prometheus 端点。MinIO 建议使用 Grafana 或安装在 `rancher-monitoring` 项目中的平台监控组件连接到 MinIO。这些工具也可以用于建立基线并为通知设置警报阈值,然后可以通过 Alertmanager 路由到通知平台,例如 PagerDuty、Freshservice 甚至 SNMP。
擦除码计算器 
参考硬件 
