MinIO | MinIO for Red Hat OpenShift 容器平台

客户出于三个原因在 Red Hat OpenShift 上运行 MinIO。

01.

创建和控制类似 AWS 的基础设施，其中 Kubernetes 提供计算基础设施，MinIO 提供对象存储。

02.

统一不同的孤岛（企业 IT、数据/HDFS 和现代工作负载/应用程序），以提高效率、安全性和弹性。

03.

在 OpenShift 上运行 MinIO 可以控制软件堆栈，并提供灵活避免云锁定。

Red Hat® OpenShift® 是一个企业级 Kubernetes 容器平台，具有完整的堆栈自动化操作，用于管理混合云、多云和边缘部署。OpenShift 包括企业级 Linux 操作系统、容器运行时、网络、监控、注册表以及身份验证和授权解决方案。

MinIO 与 OpenShift 原生集成，使您能够更轻松地运营自己的大规模多租户对象存储即服务。MinIO 运算符与 OpenShift 工具链（例如 oc OpenShift 集群管理器 CLI 和 Quay 容器注册表）一起使用，确保您充分利用在 OpenShift 生态系统中的投资。

MinIO for Red Hat OpenShift Container Platform

MinIO 提供一致、高性能和可扩展的对象存储，因为它在设计上是 Kubernetes 原生的，并且从一开始就与 S3 兼容。开发人员可以轻松地为在 OpenShift 上运行的所有云原生应用程序获取与 Amazon S3 兼容的持久存储服务。与 AWS S3 不同，MinIO 使应用程序能够跨任何多云和混合云基础设施扩展，并且仍然可以在 OpenShift 生态系统中进行管理，而无需公共云锁定。

MinIO 运算符与 OpenShift 功能原生集成，以提供

存储类和分层

跨 NVMe、HDD 和公有云存储进行分层。

外部负载均衡

使用 NGINX Ingress 控制器平衡传入请求。

加密密钥管理

使用 HashiCorp Vault 管理加密密钥。

身份管理

使用与 OpenID Connect 兼容的 Keycloak IDP 管理身份和策略。

证书管理

使用 OpenShift 证书管理器和 Let’s Encrypt 配置和管理证书。

监控和警报

使用 OpenShift 工作负载监控或 Grafana 跟踪指标并发出警报。

日志记录和审计

将日志输出到 Elastic Stack 进行分析。

存储类和分层

在 OpenShift 上大规模部署 MinIO 的关键要求是能够跨存储类（NVMe、HDD、公有云）进行分层。这使企业能够管理成本和性能。

MinIO 支持将陈旧对象从快速的 NVMe 层自动转移到更具成本效益的 HDD 层，甚至更具成本效益的冷公有云存储层。

分层时，MinIO 在各层之间提供统一的命名空间。跨层的移动对应用程序是透明的，并由客户确定的策略触发。

MinIO 通过在源头加密对象，为 OpenShift 混合云提供安全存储，确保客户始终完全控制数据。当 OpenShift 部署在公共云内部时，分层功能有助于 OpenShift 在持久块存储和更便宜的对象存储层之间有效地管理数据。

OpenShift | 了解持久存储 - 了解更多

将对象从 MinIO 迁移到 S3 - 了解更多

外部负载均衡

MinIO 的所有通信都基于 HTTPs、RESTful API，并将支持任何标准的、与 Kubernetes 兼容的入口控制器。这包括基于硬件和软件定义的解决方案。最受欢迎的选择是 NGINX。使用 OperatorHub 或 OpenShift 市场进行安装，然后使用注释公开 MinIO 租户。

使用 NGINX Ingress 运算符 - 了解更多

为 MinIO 租户配置 TLS/SSL - 了解更多

加密密钥管理

没有原生的 OpenShift 密钥管理功能。因此，MinIO 建议使用 HashiCorp Vault 将密钥存储在对象存储系统之外。这是云原生应用程序的最佳实践。

对于所有生产环境，我们建议默认情况下对所有存储桶启用加密。MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密来保护数据完整性和机密性，并且对性能的影响可以忽略不计。

MinIO 支持所有三种服务器端加密 (SSE-KMS、SSE-S3 和 SSE-C) 模式。SSE-S3 和 SSE-KMS 与服务器端的 KMS 集成，而 SSE-C 使用客户端提供的密钥。

MinIO 将使用此 KMS 来引导其内部密钥加密服务器（KES 服务），以启用高性能的对象级加密。每个租户都在隔离的命名空间中运行自己的 KES 服务器。

在 OpenShift 4 中集成 HashiCorp Vault - 了解更多

MinIO 加密和密钥管理 - 了解更多

身份管理

在 OpenShift 上运行 MinIO 时，客户可以通过第三方 OpenID Connect/LDAP 兼容的身份提供商（如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理单点登录 (SSO)。MinIO 建议使用 OpenID Connect 兼容的 Keycloak IDP。

外部 IDP 允许管理员集中管理用户/应用程序身份。MinIO 基于 IDP，提供 AWS IAM 风格的用户、组、角色、策略和令牌服务 API。能够拥有独立于基础设施的统一身份和访问管理 (IAM) 层提供了显著的架构灵活性。

OpenShift | 了解身份提供商配置 - 了解更多

MinIO 身份和访问管理 - 了解更多

证书管理

从应用程序到 MinIO 的所有流量，包括节点间流量，都使用 TLS 加密。TLS 证书用于保护网络通信并建立网络连接资源（例如 MinIO 服务器域名）的身份。

MinIO 与 OpenShift 证书管理器集成，因此您可以使用 MinIO 运算符自动配置、预配、管理和更新 MinIO 租户的证书。租户在其自己的 Kubernetes 命名空间中完全相互隔离，并拥有自己的证书，以提高安全性。

OpenShift 和 Let’s Encrypt - 了解更多

MinIO 加密和密钥管理 - 了解更多

监控和警报

MinIO 建议使用 Grafana、安装在 OpenShift-user-workload-monitoring 项目中的平台监控组件或任何其他 OpenShift 容器监控工具连接到 MinIO。MinIO 发布了所有可以想象到的与对象存储相关的 Prometheus 指标，从存储桶容量到访问指标。这些指标可以在任何与 Prometheus 兼容的工具或 MinIO 控制台中收集和可视化。

外部监控解决方案定期抓取 MinIO Prometheus 端点。MinIO 建议使用 Grafana 或安装在 openshift-user-workload-monitoring 项目中的平台监控组件连接到 MinIO。这些相同的工具也可用于建立基线并为通知设置警报阈值，然后可以将这些警报路由到 PagerDuty、Freshservice 或甚至 SNMP 等通知平台。

OpenShift | 了解监控堆栈 - 了解更多

如何使用 Prometheus 监控 MinIO 服务器 - 了解更多