MinIO | MinIO for VMware Tanzu - MinIO 对象存储

客户出于三个原因在 VMware Tanzu 上运行 MinIO。

01.

MinIO 预捆绑在 vSphere 7.x 及更高版本中，并提供与 vSAN 数据持久性平台和 VMware Cloud Foundations 数据服务管理器的原生集成。

02.

VMware 客户只需在 vCenter 控制台中点击几下，即可快速轻松地部署多租户对象存储即服务。

03.

通过与名为 vSAN Direct 的 DPp 的特定集成，客户可以实现对底层硬件的直接控制，以提供更高的性能、可扩展性和安全性。

VMware Cloud Foundation^TM with Tanzu^TM 通过包含计算、存储、网络和管理的完整堆栈，加速 Kubernetes 基础设施的供应。通过自动且可靠地部署多个工作负载域，它可以提高管理员的生产力，同时降低总体 TCO，从而提供更快的混合云路径。

开发人员可以轻松获得适用于在 Tanzu Application Service (TAS) 或 Tanzu Kubernetes Grid (TKG) 上运行的所有云原生应用程序的 Amazon S3 兼容持久存储服务。

通过这种集成，IT 管理员可以创建和管理租户，而无需 DevOps 技能。然后，这些管理员可以允许其应用程序团队在 IT 功能设计的策略和安全框架内自助服务对象存储。这种方法允许组织在相同的基础设施上使用容器或虚拟机，从而促进其应用程序现代化之旅。

存储类和分层

MinIO 支持所有三种存储 vSAN 配置：vSAN、vSAN SNA、vSAN Direct。在几乎所有情况下，MinIO 都推荐使用 vSAN Direct，因为它提供了对驱动器的直接本地访问。这相当于获得类似 JBOD 的访问权限，使 MinIO 能够处理分布式擦除码、高可用性、容错和加密。

MinIO 中的分层使您能够经济高效地将存储容量扩展到 PB 级。

MinIO 可以自动将过期的对象从“热”VMware DPp 层过渡到经济高效的 HDD VMware DPp 层。为了优化成本，可以将分层配置为使用公有云。例如，可以将 MinIO 配置为自动将对象从 DPp 层过渡到 AWS S3 IA、Google Cloud Storage 或 Azure Blob Storage。MinIO 使用加密保护存储在 DPp 和公有云中的数据。

在 vSphere with Tanzu 中使用持久存储 - 了解更多

将对象从 MinIO 过渡到 S3 - 了解更多

外部负载均衡

MinIO 自动管理在 Tanzu 中运行的应用程序的 TLS。证书管理和入口是提供对在 Kubernetes 环境外部运行的应用程序的访问所必需的。

VMware 建议使用 Contour 入口控制器和 Envoy 负载均衡器扩展，以自动将传入的应用程序流量分布到多个目标，包括 MinIO 租户 Pod 和服务。

MinIO Operator 与 Contour 和 Envoy 扩展完全集成，以提供跨多个 MinIO 租户的自动负载均衡和路由服务。将 MinIO 租户公开到外部流量是通过 vCenter 接口在租户部署过程中自动完成的。

部署使用 Envoy 进行入口控制的 Contour - 了解更多

部署 MinIO 租户 - 配置安全 - 了解更多

加密密钥管理

MinIO 支持使用 Hashicorp Vault、Amazon KMS、Google Cloud KMS 和 Thales CipherTrust（以前称为 Gemalto KeySecure）作为密钥管理服务 (KMS)。这些选项在 MinIO 的 vCenter 接口中可用。MinIO 建议使用 Hashicorp Vault。

对于所有生产环境，我们建议默认情况下对所有存储桶启用加密。MinIO 使用 AES-256-GCM 或 ChaCha20-Poly1305 加密来保护数据完整性和机密性，而性能影响可忽略不计。

MinIO 租户需要访问已配置的 KMS，无论 KMS 是 Tanzu 基础设施内部还是外部。对 KMS 的唯一要求是提供对一个或多个客户主密钥 (CMK) 的访问权限，以便与 MinIO 服务器端加密一起使用。MinIO 使用 CMK 大规模管理加密操作，以高速执行每个对象的服务器端加密。在租户创建期间，可以使用支持的 KMS 自动启用服务器端加密。MinIO 支持使用 SSE-S3 语义启用自动的租户范围对象加密和桶级加密。客户端还可以指定 SSE-KMS 标头以指定每个对象的 CMK。

密钥管理 - 了解更多

部署 MinIO 租户 | 配置加密 - 了解更多

MinIO 加密和密钥管理 - 了解更多

身份服务

在 Tanzu 上运行 MinIO 时，客户可以通过第三方 OpenID/LDAP 兼容身份提供商（如 Keycloak、Okta/Auth0、Google、Facebook、ActiveDirectory 和 OpenLDAP）管理单点登录 (SSO)。MinIO 预计大多数客户将使用 Microsoft Active Directory 身份平台。MinIO 建议使用 OpenID Connect (OIDC) 而不是 LDAP 协议。

外部 IDP 允许管理员集中管理用户/应用程序身份。MinIO 在 IDP 之上构建，提供 AWS IAM 风格的用户、组、角色、策略和令牌服务 API。能够拥有独立于基础设施的统一身份和访问管理 (IAM) 层提供了显著的架构灵活性。

在 Tanzu Kubernetes Grid 中启用身份管理 - 了解更多

MinIO 身份和访问管理 - 了解更多

证书管理

从应用程序到 MinIO 的所有流量，包括节点间流量，都使用 TLS 加密。TLS 证书用于保护网络通信并建立网络连接资源（例如 MinIO 服务器）的身份。

MinIO 与任何与 ACME 协议兼容的证书管理器集成，以配置、预配、管理和更新 MinIO 租户的证书。租户在其自己的 Kubernetes 命名空间中完全相互隔离，并拥有自己的证书，以提高安全性。

简化 Kubernetes 服务的 TLS - 了解更多

MinIO 加密和密钥管理 - 了解更多

监控和警报

MinIO 建议使用与 Prometheus 兼容的系统进行 VMware Tanzu 监控和警报。MinIO 发布了所有可以想象到的与对象存储相关的 Prometheus 指标，从桶容量到访问指标。这些指标可以在任何与 Prometheus 兼容的工具或 MinIO 控制台中收集和可视化。

外部监控解决方案定期抓取 MinIO Prometheus 端点。根据架构目标和 Tanzu 可观察性要求，MinIO 建议使用 Wavefront 或 Grafana。这些相同的工具也可用于建立基线并设置通知的警报阈值，然后可以将这些阈值路由到通知平台，例如 PagerDuty、Freshservice 甚至 SNMP。

使用 Prometheus 和 Grafana 实施监控 - 了解更多

Tanzu 可观察性由 Wavefront 文档 | Wavefront - 了解更多

如何使用 Prometheus 监控 MinIO 服务器 - 了解更多