MinIO Linux安装后如何配置安全组

MinIO Linux安装后的安全组配置

一 端口与访问范围

• 确认 MinIO 实际监听的端口：API 默认 9000，控制台默认 9001。如使用自定义端口，以启动参数或进程实际监听为准（例如：minio server /data --console-address “:9001”）。
• 安全组仅对需要来源开放：生产环境建议对 API 与控制台分别放通，并尽量缩小来源范围（例如仅内网网段或跳板机网段）。
• 如启用 TLS/HTTPS，端口可保持不变，但建议使用 443/8443 并配合反向代理或负载均衡进行证书管理。

二 云厂商安全组规则示例

• 入方向放通规则（示例）：

• 操作要点
  • 规则优先级：将精确来源的规则放在前面，最后的拒绝规则兜底。
  • 命名规范：为规则添加描述（如“MinIO-API-内网”）。
  • 变更窗口：在业务低峰期变更，变更后及时验证。

三 操作系统防火墙放行

• firewalld（CentOS/RHEL/Fedora）

  sudo firewall-cmd --permanent --zone=public --add-port=9000/tcp
  sudo firewall-cmd --permanent --zone=public --add-port=9001/tcp
  sudo firewall-cmd --reload
  sudo firewall-cmd --list-ports  # 验证
  

• ufw（Ubuntu/Debian）

  sudo ufw allow 9000/tcp
  sudo ufw allow 9001/tcp
  sudo ufw status verbose     # 验证
  

• 注意：云主机需同时完成“安全组”和“系统防火墙”两处放行，缺一不可。

四 验证与连通性测试

• 本机/内网连通性

  nc -vz <服务器IP或域名> 9000
  nc -vz <服务器IP或域名> 9001
  curl -I http://<服务器IP或域名>:9000/minio/health/live
  

• 控制台访问：浏览器打开 http://<服务器IP或域名>:9001，使用配置的 Access Key/Secret Key 登录。
• 公网访问：如从公网访问，请确认云安全组与运营商/本地防火墙均已放行对应端口，且应用使用 API 端口 9000 进行 S3 交互。

五 安全加固建议

• 最小暴露面：仅放通必要来源；控制台与管理端口尽量限制为内网或跳板机访问。
• 加密传输：启用 TLS/HTTPS（可使用反向代理/负载均衡终止证书），避免明文传输凭据与数据。
• 凭据与访问控制：使用强随机的 Access Key/Secret Key，遵循最小权限原则，定期轮换密钥。
• 日志与监控：开启并集中采集 MinIO 服务日志，结合云监控/主机监控设置告警。