混合云对象存储
裸机服务器
Erasure Code Calculator
参考硬件部署一个 MinIO 租户¶
This procedure documents deploying a MinIO object storage tenant using the MinIO integration for the VMware Data Persistence platform (DPp) inVCF 4.2.
MinIO充分利用了VMware DPp提供的vSAN Direct和vSAN SNA存储策略。本流程假设该VCF部署 包含一个或多个具有直连存储的 ESXi 主机,其中存在针对 vSAN Direct 或 vSAN SNA 的存储策略。
前提条件¶
vCenter 的 MinIO 插件¶
在开始此过程之前,您必须在 vCenter 中启用 MinIO 插件。要启用该插件,请登录 vCenter 并选择要在其中部署 MinIO 租户的集群。
点击配置,然后导航到Supervisor Services并选择服务. 定位MinIO行并激活单选按钮。点击启用启用该服务。
具有本地存储的 ESXi 主机¶
每个 ESXi 主机必须拥有足够的计算资源、内存和直连本地存储设备(SSD或HDD),以支持作为租户组成部分配置的每个Pod。MinIO要求为作为租户组成部分部署的每个MinIO服务器Pod提供一个可用的ESXi主机。
MinIO在本地附加存储环境下展现出最佳性能。因此MinIO强烈建议vSAN Direct 存储策略在 配置 MinIO 租户时。请参阅为 vCenter with Tanzu 设置 vSAN Direct如需更完整的说明。
每个 MinIO 租户的命名空间¶
MinIO 限制每个命名空间只能有一个 MinIO 租户。请创建一个新的命名空间prior开始执行程序。
您可以在 vCenter 界面中通过点击查看和创建命名空间Namespaces集群的选项卡。点击New Namespace为 MinIO 租户创建一个新的命名空间。创建命名空间后,返回到Namespacestab 并点击您创建的 namespace。
点击编辑存储在存储将必要的 vSAN Direct 或 vSAN SNA 存储策略附加到命名空间。MinIO 租户只能使用附加到其部署所在命名空间的存储策略。
点击添加权限在权限card to configure the necessary permissions for vCenter users. Specifically, only users with the可以编辑对命名空间具有权限的用户可以在该命名空间中创建 MinIO 租户。
重要
VCF允许在命名空间级别对CPU、内存和存储设置限制。MinIO租户将受到这些限制的约束。特别是对于CPU限制,VCF允许设置一个频率限制。MinIO租户对每个分配的vCPU都遵循此限制。如果命名空间CPU频率限制过低,即使租户分配了大量vCPU,也可能出现性能节流现象。
过程¶
1) 打开租户创建模态框¶
从 vCenter 界面中,选择要在其中部署 MinIO 租户的集群。
点击配置tab,然后打开MinIO部分并选择租户要打开MinIO Tenants视图
点击ADD要打开 MinIO租户创建modal.
2) 完成租户配置步骤¶
The租户配置step 显示以下字段:
名称 |
MinIO 租户的名称 |
|---|---|
命名空间 |
部署租户的命名空间。该命名空间不得不包含任何其他 MinIO 租户。 |
存储类 |
TheVCFMinIO租户在配置卷时使用的存储类。MinIO强烈建议为MinIO租户使用vSAN Direct存储策略。 |
高级模式 |
显示以下额外的配置模态框:
|
点击下一个继续下一步。
3) 完成配置步骤¶
Note
此部分仅在您选择了以下选项时可见高级模式在租户配置section.
The配置step 显示以下字段:
使用自定义镜像 |
允许使用自定义 Docker 镜像在 MinIO 租户上部署 Pod。 |
|---|---|
MinIO 的镜像 |
用于部署 MinIO 服务器 Pod 的自定义 Docker 镜像 仅当可见时使用自定义镜像已激活。 |
Console 的 Image |
用于部署 MinIO Console pod 的自定义 Docker 镜像。 仅当可见时使用自定义镜像已激活。 |
字段 |
描述 |
|---|---|
设置自定义镜像仓库 |
允许使用私有 Docker 仓库来获取用于部署 MinIO 租户的 Docker 镜像。 |
端点 |
私有 Docker 仓库的 URL 端点。 仅当可见时设置自定义镜像仓库已激活。 |
用户名 |
指定用户的用户名端点 仅当可见时设置自定义镜像仓库已激活。 |
密码 |
指定用户的用户名端点. 仅当可见时设置自定义镜像仓库已激活。 |
4) 完成IDP步骤¶
Note
此部分仅在您选择了以下选项时可见高级模式在租户配置section.
MinIO 具有内置的身份管理功能,用于管理租户上的身份。 MinIO 还支持外部身份提供商(IDP),用于集中式访问 和权限管理。
The :guilabel`IDP` section contains configuration settings for using an external IDentity Provider (IDP) for client authentication and authorization. Select the radio button that corresponds to the type of IDP you want the MinIO tenant to use. The default is :guilabel`IDP` 部分包含使用外部身份提供者 (IDP) 进行客户端认证和授权的配置设置。选择与您希望 MinIO 租户使用的 IDP 类型相对应的单选按钮。默认为无,或 MinIO 管理的身份。
OpenID |
启用 OpenID 提供商以外部管理客户端对 MinIO 租户的访问。与以下功能互斥:Active Directory. |
|---|---|
URL |
指定 OpenID 提供者的 URL。确保配置的网络访问规则授予 MinIO 租户对指定 URL 端点的访问权限。 |
Client ID |
指定用于连接到 OpenID 提供者的客户端 ID。 |
Secret ID |
指定用于连接到 OpenID 提供者的 Secret ID。 |
Active Directory |
支持使用 Microsoft Active Directoryor一个用于外部管理客户端访问 MinIO 租户的 LDAP 服务。与以下功能互斥:OpenID. |
|---|---|
URL |
Active Directory 或 LDAP 服务的端点。确保配置的网络访问规则允许 MinIO 租户访问指定的 URL 端点。 |
跳过 TLS 验证 |
指示 MinIO 跳过 TLS 证书验证,并连接到呈现不受信任证书(例如自签名证书)的 Active Directory 或 LDAP 服务。 |
服务器不安全 |
允许与 Active Directory 或 LDAP 服务器建立纯文本连接。 |
用户搜索筛选器 |
指定 MinIO 在客户端认证/授权过程中执行的 LDAP 查询。例如: MinIO 将客户端提供的用户名替换到 |
Group Search Base DN |
指定 MinIO 在查询已认证用户所属的 LDAP 群组时使用的基础识别名称(DN)。 多个 DN 请以分号分隔的列表形式指定。 |
群组搜索过滤器 |
指定 MinIO 在客户端认证/授权过程中执行的 LDAP 查询。 |
Group Name Attribute |
指定 MinIO 在查询已认证用户所属的 LDAP 组时使用的通用名称 (CN) 属性。 |
5) 完成安全步骤¶
Note
此部分仅在您选择了以下选项时可见高级模式在租户配置section.
The安全section 包含为 MinIO Tenant 中资源自动和自定义 TLS 证书生成的配置设置:
启用 TLS |
为 MinIO 租户启用 TLS 身份验证。 MinIO强烈建议在所有部署环境(例如开发、预发布或生产环境)中启用TLS。 |
|---|---|
Autocert |
启用自动生成自签名证书,供 MinIO 租户中的资源使用。 客户端可能需要显式禁用TLS证书验证才能连接到MinIO租户,因为自签名证书通常默认不受信任。 仅当可见时启用 TLS已激活。 |
启用 TLS |
为 MinIO 租户启用 TLS 身份验证。 MinIO强烈建议在所有部署环境(例如开发、预发布或生产环境)中启用TLS。 |
|---|---|
自定义证书 |
允许指定一个或多个预生成的 TLS x.509 证书,供 MinIO 租户中的资源使用。 |
MinIO TLS 证书 |
指定一个Key私钥和证书public
certificate。MinIO 在配置 Pod TLS 和为每个 pod 启用支持 SNI 的 TLS 时使用这些证书。具体来说,
MinIO 将所有指定的证书复制到集群中的每个 MinIO 服务器 pod
和服务。当 pod/服务响应 TLS 连接请求时,它使用 SNI 选择具有匹配 您可以通过点击指定额外的证书再加一个按钮。 |
Console TLS Certs |
指定一个Key私钥和证书public
certificate。MinIO 在配置 Pod TLS 和为每个 pod 启用支持 SNI 的 TLS 时使用这些证书。具体来说,
MinIO 将所有指定的证书复制到集群中的每个 MinIO Console pod
和 service。当 pod/service 响应 TLS 连接请求时,它使用 SNI 来选择具有匹配 |
6) 完成加密步骤¶
Note
此部分仅在您选择了以下选项时可见高级模式在租户配置section.
The加密section 包含为存储在 MinIO 租户上的对象进行服务器端加密 (SSE-S3) 的配置设置。
启用服务器端加密 |
启用配置 MinIO 租户上对象的 SSE。 |
|---|---|
Vault |
使用 Hashicorp Vault 作为密钥管理服务 (KMS) 启用 SSE。 |
端点 |
指定 Vault 服务的 URL 端点。确保配置的网络访问规则授予 MinIO 租户对指定 URL 端点的访问权限。 |
引擎 |
指定用于存储为支持 SSE-S3 而生成的密钥的 Vault 引擎路径。 |
命名空间 |
指定 Vault 中的命名空间,MinIO 将在其中存储为支持 SSE-S3 而生成的密钥。 |
前缀 |
指定当 MinIO 存储为支持 SSE-S3 生成的密钥时要应用的字符串前缀。 |
App Role |
指定 MinIO 用于对 Vault 服务器执行 AppRole 身份验证的凭据。
|
TLS |
指定连接到 Vault 服务器时要使用的 TLS 证书。
|
状态 |
指定 MinIO 检查 Vault 服务器状态的频率。设置Ping到状态检查之间的等待时间。 |
启用服务器端加密 |
启用配置 MinIO 租户上对象的服务器端加密。 |
|---|---|
AWS |
使用亚马逊网络服务密钥管理系统(AWS KMS)作为密钥管理服务(KMS)来启用SSE。 |
端点 |
指定 AWS KMS 服务的 URL 端点。确保配置的网络访问规则授予 MinIO 租户对指定 URL 端点的访问权限。 |
区域 |
指定 AWS KMS 服务的 AWS 区域。 |
KMS 密钥 |
用于与SSE相关的加密密钥操作的AWS KMS客户主密钥(CMK)。 |
凭据 |
指定在向 AWS KMS 服务发起请求时使用的凭据。
|
启用服务器端加密 |
启用配置 MinIO 租户上对象的服务器端加密。 |
|---|---|
金雅拓 |
使用 Gemalto KeyVault 或 Thales CipherTrust 作为密钥管理服务启用 SSE。 |
端点 |
指定 KeyVault 或 CipherTrust 服务的 URL 端点。确保配置的网络访问规则授予 MinIO 租户对指定 URL 端点的访问权限。 |
凭据 |
指定在向 KeyVault 或 CipherTrust 服务发起请求时使用的凭据。
|
TLS |
指定证书颁发机构 |
7) 完成租户规模步骤¶
The租户规模section 包含 MinIO Tenant 中节点的配置设置:
节点数量 |
指定要为 MinIO 租户创建的节点数量。 |
|---|---|
存储大小 |
指定集群中的存储总量。 MinIO 根据指定的存储大小和在 Storage Class 中选择的配置自动计算每个节点的卷数量租户配置步骤 请求的存储必须应小于或等于指定存储类中的可用存储容量。 |
每个节点的内存 |
Specify the amount of RAM to allocate to each node on the MinIO Tenant. MinIO recommends a最小值每个节点 2Gi 的 RAM。 点击感叹号!提示:根据总可用存储空间查看推荐的内存分配。 |
擦除码奇偶校验 |
应用于 MinIO 租户的擦除码奇偶校验设置。
默认为 有关擦除码奇偶校验的更完整文档,请参阅Erasure Coding. |
The资源分配section 显示指定配置设置的结果:
每个节点的卷数 |
MinIO 在租户中每个节点生成的持久卷声明(PVC)数量。 MinIO 根据请求计算该值存储大小以及可用磁盘的数量存储类. |
|---|---|
磁盘大小 |
MinIO 为租户生成的每个 PVC 请求的存储容量。 MinIO 根据请求计算该值存储大小以及可用磁盘的数量存储类. |
卷宗总数 |
MinIO 为租户生成的 PVC 总数。 MinIO 根据请求计算该值存储大小以及可用磁盘的数量存储类. |
擦除码奇偶校验 |
The擦除码奇偶校验selected during the7) 完成租户规模步骤步骤 |
原始容量 |
基于请求的总原始存储容量存储大小. |
可用容量 |
基于估算的总可用存储容量为擦除码奇偶校验. 实际可用容量取决于常规工作负载实践中使用的擦除码奇偶校验配置。例如,在创建租户后降低擦除码奇偶校验设置,将会增加集群上的总预估可用存储空间。 |
8) 审查预览配置步骤¶
The预览配置section contains the details for the MinIO Tenant. Review the summary之前继续下一步。
The名称, 命名空间和存储类设置来源于2) 完成租户配置步骤section.
The节点, 卷宗总数, 每个节点的卷数, 磁盘大小, 擦除码奇偶校验, 原始容量和可用容量设置来源于7) 完成租户规模步骤section.
9) 审查凭据步骤¶
The凭据section 包含连接到 MinIO 租户和 MinIO 控制台所需的凭据。
TheMinIO的访问密钥和MinIO的Secret Key是 root MinIO 用户的凭据。
TheConsole 的访问密钥和Console’s Secret Key是访问 MinIO 控制台的凭据。
MinIO 显示访问密钥一次点击复制凭据将密钥复制到系统剪贴板的按钮。请将密钥存储在安全位置,例如受密码保护的密钥保管库。
重要
MinIO访问密钥和密钥凭据与MinIO租户的 root用户关联。任何使用这些凭据访问MinIO租户的客户端 都具有执行操作的超级用户权限任何对租户的操作。
点击完成关闭创建租户模态框和 返回集群视图
10) 监控租户创建¶
您可以从监控租户创建过程租户的MinIO集群的 section配置选项卡。点击 租户左侧的单选按钮,然后选择详细信息.
The租户视图显示租户的当前状态。
The当前状态描述了租户部署的阶段。该 集群任务view 提供了 MinIO 更细粒度的视图,因为它为租户创建所需的资源。
当当前状态读作已初始化租户已准备就绪,可以访问。
11) 连接到您的租户¶
TheMinIO Endpoint显示用于连接到 MinIO 租户的 IP 地址。
You can specify this endpoint along with the MinIO Access Key and Secret Key
to connect to the Tenant and begin performing operations on it. For example,
the following operation uses themc用于配置新 MinIO 租户别名并获取其状态的命令行工具:
mc alias --insecure set vmw-minio-tenant ENDPOINT ACCESSKEY SECRETKEY
mc admin --insecure info vmw-minio-tenant
The--insecureoption allows connecting to an endpoint using
self-signed certificates, and may be required for Tenants created usingAutocertTLS证书生成。
您也可以通过点击Console EndpointURL并在控制台中输入访问密钥和 密钥。
12) 修改租户的 vCPU 分配¶
VCF4.2 defaults MinIO pods to 1vCPU. You can modify the number of vCPU allocated to each MinIO pod after deploying the tenant by doing the following:
使用
kubectl vsphere login创建一个用于访问的上下文VCF集群。命令中指定的 vCenter 用户必须拥有访问和执行租户所在命名空间内操作的权限。请参阅连接 vCenter 与 Tanzu 集群如需更具体的说明。
运行以下命令来修改租户的 vCPU 分配:
kubectl -n <NAMESPACE> patch tenant <TENANT-NAME> --type='json' \ -p='[ { "op": "replace", "path": "/spec/zones/0/resources/limits/cpu", "value": <CPU-LIMIT> }, { "op": "replace", "path": "/spec/zones/0/resources/requests/cpu", "value": <CPU-LIMIT> } ]'
替换
<NAMESPACE>使用租户部署所在的命名空间。替换
<TENANT-NAME>使用 MinIO 租户的名称。替换
<CPU-LIMIT>分配给每个租户 pod 的 vCPU 数量。
对于拥有多个区域的租户,请重新发出命令并增加
/spec/zones/0对于租户中的每个区域 (spec/zones/1,spec/zones/2等)。
