paint-brush
深入了解 MinIO 企业对象存储防火墙经过@minio
7,546 讀數
7,546 讀數

深入了解 MinIO 企业对象存储防火墙

经过 MinIO3m2024/06/26
Read on Terminal Reader

太長; 讀書

在现代企业中,数据是必须保护的,而不存在支持 S3 的防火墙。MinIO 企业对象存储防火墙专为使用 MinIO 对象存储及其 API 端点的应用程序而设计。防火墙兼作负载均衡器,无需在防火墙和 MinIO 节点之间使用单独的负载均衡器。
featured image - 深入了解 MinIO 企业对象存储防火墙
MinIO HackerNoon profile picture


在我们的先前的讨论,我们推出了 MinIO 对象存储防火墙,这是一种超越传统网络和应用程序安全层的新型安全组件。基于 IP 的防火墙和应用程序防火墙都不是为数据设计的。这就是我们构建 MinIO 企业对象存储防火墙的原因——因为在现代企业中,数据是必须保护的,而 S3 感知防火墙并不存在。这种 S3 感知数据防火墙对于现代数据保护至关重要,它在存储层运行,全面保护您的数据。


MinIO 企业对象存储防火墙专为使用 MinIO 对象存储及其 API 端点的应用程序而设计。企业防火墙轻量级、功能强大、灵活且可扩展。


让我们深入研究如何设置这个先进的防火墙,它旨在在当今日益复杂的数字环境中保护您的数据。

启用并配置防火墙

让我们使用企业控制台来设置防火墙。按照以下步骤启用和配置防火墙。









配置 TLS 以实现安全通信

作为 MinIO Enterprise Suite 的一部分,我们始终建议您确保在 MinIO Enterprise Object Store 上启用 TLS,以便集群间通信也能加密。本着同样的精神,我们也支持企业防火墙的 TLS。这可确保通过防火墙与 MinIO Object Store 的任何连接都端到端加密。为了增强安全性,请在使用 Let's Encrypt 启动防火墙时配置 TLS 设置。






匿名规则的优先级

在我们的 MinIO 企业防火墙配置中,您会遇到两个不同的匿名访问规则:


全局匿名设置:当您开始启用防火墙时,我们会指定一个全局设置,允许跨所有存储桶进行匿名访问,除非更具体的规则拒绝它。







存储桶特定匿名:配置全局设置后,在每个单独的规则下,我们可以设置一个更具体的规则来覆盖全局设置,从而有效地拒绝匿名访问






在这种情况下,尽管我们最初将全局匿名切换为允许所有存储桶,但由于我们在其下方设置了另一条更具体的规则,该规则也适用于所有存储桶,因此我们稍后设置的规则优先于全局设置。换句话说,所有存储桶的匿名存储桶访问都将被拒绝。

MinIO 节点间的负载平衡

另外一个好处是,因为我们需要将所有 MinIO 节点定义为防火墙的后端,所以防火墙兼作负载均衡器,从而无需在防火墙和 MinIO 节点之间使用单独的负载均衡器。







这消除了进一步的复杂性,并确保在其中一个 MinIO 后端离线的情况下不会出现单点故障。请注意,您需要有另一个级别的冗余,以确保在连接到企业防火墙时,传入的连接也会分发到多个企业防火墙实例。此配置超出了本博客的范围,但需要牢记。

健康检查和监控

健康检查使您能够查看防火墙是否处于健康状态。您可以按如下方式检查健康状况和活跃度。





如果一切为绿色,则表明防火墙运行正常。

最后的想法

有了 MinIO 企业防火墙,您就再也不需要为复杂的 IPtable 和不明确的访问策略而烦恼了。我们的防火墙解决方案专注于对象存储和 API 交互所需的基本规则,从而简化您的安全性。它经过优化,可确保不会出现延迟或不可预见的规则,从而阻止对 MinIO 对象存储的访问。


此外,企业防火墙得到了我们优秀团队的全力支持子网我们可以通过正确构建企业防火墙来帮助您与 MinIO 对象存储配合使用并解决任何未来问题。


那你还在等什么?如果你对 MinIO Enterprise Object Store Firewall 有任何疑问,请务必通过以下方式联系我们:松弛或者你好@min.io