为 MinIO 租户配置 TLS/SSL

概述

MinIO by default automatically generates self-signed TLS certificates for MinIO Tenant resources. This procedure documents configuring custom TLS x.509 certificates for use by the MinIO Tenant. MinIO 默认自动为 MinIO 租户资源生成自签名 TLS 证书。本文档说明如何配置自定义 TLS x.509 证书供 MinIO 租户使用。

MinIO SNI 支持允许租户中的 Pod 和服务在建立 TLS 连接时同时使用自动生成和自定义证书。例如，您可以部署一个租户，其中只有被外部客户端访问的服务或 Pod 拥有由可信证书颁发机构签名的自定义证书，而租户内部的 TLS 流量继续使用自动生成的自签名证书。

用户生成的TLS证书用于MinIO对象存储

MinIO Operator 支持指定用户生成的 x.509 证书用于建立 TLS 连接。MinIO 支持 SNI（服务器名称指示），使得 Pod 或服务可以根据客户端连接的主机名选择合适的 x.509 证书。例如，假设某个 x.509 证书包含以下主题备用名称（SAN）DNS 条目：

minio.example.net
*.minio.example.net

任何具有该证书的 MinIO Pod 或服务器都可以在客户端向匹配域发出请求时选择该证书。

Operator 还支持指定 MinIO Tenant 用于验证外部服务 x.509 证书的证书颁发机构 (CA)。

您可以在部署租户时指定自定义TLS证书MinIO Operator Console.

对于使用 YAML 对象规范部署 MinIO 租户的用户，下表列出了 MinIO 租户对象规范字段的子集，用于指定用户生成的 x.509 证书或证书颁发机构 (CA)：

字段	描述
spec.externalCaCertSecret spec.console.externalCaCertSecret	MinIO租户中Pod使用的一个或多个证书颁发机构(CA)证书，用于验证外部服务提供的x.509 TLS证书。
spec.externalCertSecret spec.console.externalCertSecret	MinIO租户中Pod使用的一个或多个x.509证书，用于建立TLS连接。Pod/服务使用SNI根据请求的主机名来确定提供哪个证书。

创建一个类型为 `kubernetes.io/dockerconfigjson` 的 Kubernetes Secretkubernetes.io/tls对于每个想要添加到 MinIO 租户的 x.509 证书或 CA。请参阅Kubernetes Secrets获取更完整的文档。