一、Minio介紹

1.1 Minio簡介

MinIO 是高性能的對象存儲，是為海量數(shù)據(jù)存儲、人工智能、大數(shù)據(jù)分析而設(shè)計的，它完全兼容AmazonS3接口，單個對象最大可達5TB，適合存儲海量圖片、視頻、日志文件、備份數(shù)據(jù)和容器/虛擬機鏡像等。MinIO主要采用Golang語言實現(xiàn)，，客戶端與存儲服務(wù)器之間采用http/https通信協(xié)議。

1.2 部署方式：

單機部署

分布式部署

1.3 Minio官網(wǎng)

1、首頁

二、Minio集群

2.1 Minio集群原理

MinIO分布式集群是指在多個服務(wù)器節(jié)點均部署MinIO服務(wù)，并將其組建為分布式存儲集群，對外提供標(biāo)準(zhǔn)S3接口以進行統(tǒng)一訪問。

MinIO分布式集群架構(gòu)

MinIO集群采用去中心化無共享架構(gòu)，各節(jié)點間為對等關(guān)系，連接至任一節(jié)點均可實現(xiàn)對集群的訪問。在我們的方案中還選擇了Nginx的輪詢實現(xiàn)各個節(jié)點的負載均衡。

數(shù)據(jù)對象在MinIO集群中進行存儲時，先進行糾刪分片，后打散存儲在各硬盤上。具體為：

MinIO自動在集群內(nèi)生成若干糾刪組，每個糾刪組包含一組硬盤，其數(shù)量通常為4至16塊;

對數(shù)據(jù)對象進行分片，默認策略是得到相同數(shù)量的數(shù)據(jù)分片和校驗分片;

而后通過哈希算法計算出該數(shù)據(jù)對象對應(yīng)的糾刪組，并將數(shù)據(jù)和校驗分片存儲至糾刪組內(nèi)的硬盤上。

假設(shè)某MinIO集群內(nèi)糾刪組包含4塊硬盤，某數(shù)據(jù)對象名為MyObject，其隸屬存儲桶名為MyBucket，哈希計算得到對應(yīng)的糾刪組為Disk 1~4。那么在Disk 1~4的數(shù)據(jù)路徑下，都會生成MyBucket/MyObject子路徑，子路徑中包含2個文件，分別為存儲元數(shù)據(jù)信息的xl.meta和MyObject對象在該盤上的第一個分片part.1。其中，xl表示MinIO中數(shù)據(jù)對象的默認存儲格式。

2.2 術(shù)語解釋

1、S3

Simple Storage Service，簡單存儲服務(wù)，這個概念是Amazon在2006年推出的，對象存儲就是從那個時候誕生的。S3提供了一個簡單Web服務(wù)接口，可用于隨時在Web上的任何位置存儲和檢索任何數(shù)量的數(shù)據(jù)。

2、Object

存儲到 Minio 的基本對象，如文件、字節(jié)流，Anything...

3、Bucket

用來存儲 Object 的邏輯空間。每個 Bucket 之間的數(shù)據(jù)是相互隔離的。

4、Drive

部署 Minio 時設(shè)置的磁盤，Minio 中所有的對象數(shù)據(jù)都會存儲在 Drive 里。

5、Set

一組 Drive 的集合，分布式部署根據(jù)集群規(guī)模自動劃分一個或多個 Set ，每個 Set 中的 Drive 分布在不同位置。一個對象存儲在一個 Set 上。

2.3 糾刪碼

糾刪碼是一種恢復(fù)丟失和損壞數(shù)據(jù)的數(shù)學(xué)算法，目前，糾刪碼技術(shù)在分布式存儲系統(tǒng)中的應(yīng)用主要有三類，陣列糾刪碼(Array Code: RAID5、RAID6等)、RS(Reed-Solomon)里德-所羅門類糾刪碼和LDPC(LowDensity Parity Check Code)低密度奇偶校驗糾刪碼。Erasure Code是一種編碼技術(shù)，它可以將n份原始數(shù)據(jù)，增加m份校驗數(shù)據(jù)，并能通過n+m份中的任意n份原始數(shù)據(jù)，還原為原始數(shù)據(jù)。即如果有任意小于等于m份的校驗數(shù)據(jù)失效，仍然能通過剩下的數(shù)據(jù)還原出來。

Minio采用Reed-Solomon code將對象拆分成N/2數(shù)據(jù)和N/2 奇偶校驗塊。

在同一集群內(nèi)，MinIO 自己會自動生成若干糾刪組(Set)，用于分布存放桶數(shù)據(jù)。一個糾刪組中的一定數(shù)量的磁盤發(fā)生的故障(故障磁盤的數(shù)量小于等于校驗盤的數(shù)量)，通過糾刪碼校驗算法可以恢復(fù)出正確的數(shù)據(jù)。

2.4 Minio集群搭建

有兩臺服務(wù)器：

192.168.3.17

192.168.3.18

1、在每臺服務(wù)器上創(chuàng)建minio目錄

mkdir -p /home/minio/{run,data1,data2} && mkdir -p /etc/minio

2、下載或者上傳下載好的minio二進制文件

官網(wǎng)下載地址：

https://dl.min.io/server/minio/release/linux-amd64/minio

3、集群啟動文件配置

Minio默認9000端口，在配置文件中加入–address “127.0.0.1:9029” 可更改端口

注意 ：

MINIO_ACCESS_KEY：用戶名，長度最小是5個字符

MINIO_SECRET_KEY：密碼，密碼不能設(shè)置過于簡單，不然minio會啟動失敗，長度最小是8個字符

–config-dir：指定集群配置文件目錄

vim /home/minio/run/minio-run.sh

集群節(jié)點192.168.3.17內(nèi)容為

#!/bin/bash

export MINIO_ACCESS_KEY=admin

export MINIO_SECRET_KEY=admin123

/home/minio/run/minio server --config-dir /etc/minio

--address "192.168.3.17:9000"

http://192.168.3.17/home/minio/data1 http://192.168.3.17/home/minio/data2

http://192.168.3.18/home/minio/data1 http://192.168.3.18/home/minio/data2

集群節(jié)點192.168.3.18內(nèi)容為

#!/bin/bash

export MINIO_ACCESS_KEY=admin

export MINIO_SECRET_KEY=admin123

/home/minio/run/minio server --config-dir /etc/minio

--address "192.168.3.18:9000"

http://192.168.3.17/home/minio/data1 http://192.168.3.17/home/minio/data2

http://192.168.3.18/home/minio/data1 http://192.168.3.18/home/minio/data2

4、創(chuàng)建Minio.server,將minio加入系統(tǒng)服務(wù)

vim /usr/lib/systemd/system/minio.service

[Unit]

Description=Minio service

Documentation=https://docs.minio.io/

[Service]

WorkingDirectory=/home/minio/run/

ExecStart=/home/minio/run/minio-run.sh

Restart=on-failure

RestartSec=5

[Install]

WantedBy=multi-user.target

修改配置文件后需要重加載配置

systemctl daemon-reload

5、權(quán)限修改

chmod +x /usr/lib/systemd/system/minio.service && chmod +x /home/minio/run/minio && chmod +x /home/minio/run/minio-run.sh

6、啟動集群

systemctl start minio

systemctl enable minio

查看集群狀態(tài)

systemctl status minio.service -l

三、Nginx反向代理與負載均衡

3.1 安裝nginx

apt-get install nginx

nginx文件安裝完成之后的文件位置：

/usr/sbin/nginx：主程序

/etc/nginx：存放配置文件

/usr/share/nginx：存放靜態(tài)文件

/var/log/nginx：存放日志

為了保證安全性，將采用https形式訪問minio，下面展示再服務(wù)器本地生成ssl證書，并且集成到nginx中。

3.2 創(chuàng)建SSL證書

1、創(chuàng)建證書目錄

[root@localhost ~]# cd /etc/nginx/

[root@localhost nginx]# mkdir ssl

[root@localhost nginx]# cd ssl/

2、生成一個RSA密鑰

[root@localhost ssl]# openssl genrsa -des3 -out nginx.key 1024 #實際使用中看服務(wù)器性能，如果足夠好也可以使用4096位秘鑰

Generating RSA private key, 1024 bit long modulus

.......++++++

...++++++

e is 65537 (0x10001)

Enter pass phrase for nginx.key: 123456 #輸入密碼，自定義

Verifying - Enter pass phrase for nginx.key: 123456 #確認密碼

3、生成一個證書請求

[root@localhost ssl]# openssl req -new -key nginx.key -out nginx.csr

Enter pass phrase for nginx.key: #輸入剛剛創(chuàng)建的秘密碼

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN #國家名稱

State or Province Name (full name) []:JiangSu #省

Locality Name (eg, city) [Default City]:NanJing #市

Organization Name (eg, company) [Default Company Ltd]:Dwing #公司

Organizational Unit Name (eg, section) []:Tech #部門

Common Name (eg, your name or your server's hostname) []:*.generalstorage.com #注意，此處應(yīng)當(dāng)填寫你要部署的域名，如果是單個則直接添加即可，如果不確定，使用*，表示可以對所有g(shù)eneralstorage.com的子域名做認證

Email Address []:admin@generalstorage.com #以域名結(jié)尾即可

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []: #是否設(shè)置密碼，可以不寫直接回車

An optional company name []: #其他公司名稱 可不寫

4、創(chuàng)建不需要輸入密碼的RSA證書，否則每次reload、restart都需要輸入密碼

[root@localhost ssl]# openssl rsa -in nginx.key -out nginx_nopass.key

Enter pass phrase for nginx.key: #之前RSA秘鑰創(chuàng)建時的密碼

writing RSA key

5、簽發(fā)證書(由于是測試自己簽發(fā)，實際應(yīng)該將自己生成的csr文件提交給SSL認證機構(gòu)認證)

[root@localhost ssl]# openssl x509 -req -days 3650 -in nginx.csr -signkey nginx.key -out nginx.crt

Signature ok

subject=/C=CN/ST=JiangSu/L=NanJing/O=Dwing/OU=Tech/CN=*.generalstorage.com/emailAddress=admin@generalstorage.com

Getting Private key

Enter pass phrase for nginx.key: #RSA創(chuàng)建時的密碼

3.3 配置Nginx

server {

listen 80 default_server;

listen [::]:80 default_server;

server_name test.generalstorage.com;

include /etc/nginx/default.d/*.conf;

return 301 https://$server_name$request_uri; #在80監(jiān)聽端口 配置跳轉(zhuǎn)

}

server {

listen 443 ssl http2 default_server;

listen [::]:443 ssl http2 default_server;

server_name test.generalstorage.com;

client_max_body_size 20M;

charset utf-8;

ssl_certificate "/etc/nginx/ssl/nginx.crt"; #

ssl_certificate_key "/etc/nginx/ssl/nginx_nopass.key";

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 10m;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

location /{

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_pass http://minio_server;

}

}

ssl_certificate證書其實是個公鑰，它會被發(fā)送到連接服務(wù)器的每個客戶端，ssl_certificate_key私鑰是用來解密的，所以它的權(quán)限要得到保護但nginx的主進程能夠讀取。當(dāng)然私鑰和證書可以放在一個證書文件中，這種方式也只有公鑰證書才發(fā)送到client。

ssl_session_timeout 客戶端可以重用會話緩存中ssl參數(shù)的過期時間，內(nèi)網(wǎng)系統(tǒng)默認5分鐘太短了，可以設(shè)成30m即30分鐘甚至4h。

ssl_protocols指令用于啟動特定的加密協(xié)議，nginx在1.1.13和1.0.12版本后默認是ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2，TLSv1.1與TLSv1.2要確保OpenSSL >= 1.0.1 ，SSLv3 現(xiàn)在還有很多地方在用但有不少被攻擊的漏洞。

ssl_ciphers選擇加密套件，不同的瀏覽器所支持的套件(和順序)可能會不同。這里指定的是OpenSSL庫能夠識別的寫法，你可以通過 openssl -v cipher ‘RC4:HIGH:!aNULL:!MD5’(后面是你所指定的套件加密算法) 來看所支持算法。

ssl_prefer_server_ciphers on設(shè)置協(xié)商加密算法時，優(yōu)先使用我們服務(wù)端的加密套件，而不是客戶端瀏覽器的加密套件。

啟動服務(wù)

[root@localhost nginx]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

[root@localhost nginx]# systemctl restart nginx

本地hosts綁定域名

192.168.3.17 test.generalstorage.com

四、minio頁面展示

瀏覽器中輸入：https://test.generalstorage.com/

輸入賬號/密碼：admin/admin123