ubuntu与minio的网络配置要点

Ubuntu 与 MinIO 网络配置要点

一 网络与基础配置

• 为服务器配置静态 IP、子网掩码、网关、DNS，避免地址漂移导致客户端中断。
• 放行 MinIO 所需端口：对象 API 默认 9000/TCP，控制台默认 9001/TCP（部分教程使用 9090/TCP，以实际配置为准）。
• 防火墙示例：
  • UFW：sudo ufw allow 9000,9001/tcp
  • firewalld：sudo firewall-cmd --zone=public --add-port={9000,9001}/tcp --permanent && sudo firewall-cmd --reload
• 硬件与系统基线：建议至少 2 核 CPU、8GB 内存、500GB 磁盘、1Gbps 网卡，并使用 64 位 Ubuntu 等稳定发行版。

二 监听地址与端口规划

• 绑定地址：生产环境建议绑定到内网或指定网卡地址（如 --address 192.168.1.10:9000），避免直接暴露在公网。
• 控制台端口：使用 --console-address ":9001" 将控制台与数据端口分离，便于分层访问控制。
• 环境变量示例（/etc/default/minio）：
  • MINIO_VOLUMES="/data/minio"
  • MINIO_OPTS="--address :9000 --console-address :9001"
  • MINIO_ROOT_USER="minioadmin"
  • MINIO_ROOT_PASSWORD="StrongPassword!"
• 服务单元建议：在 systemd 服务中设置 Wants=network-online.target 与 After=network-online.target，确保网络就绪后再启动 MinIO。

三 反向代理与 TLS 终止

• 使用 Nginx 统一暴露域名与证书管理，示例片段：
  • 数据 API：proxy_pass http://127.0.0.1:9000;
  • 控制台：proxy_pass http://127.0.0.1:9001;
  • 常用头：Host $host; X-Real-IP $remote_addr; X-Forwarded-For $proxy_add_x_forwarded_for; X-Forwarded-Proto $scheme;
• TLS 建议：在代理层启用 HTTPS/TLS，对外仅开放 443/TCP，将 9000/9001 限制为本地回环访问，降低暴露面。
• 证书获取：可使用 kes 生成/管理 TLS 证书，并配置最小化访问策略。

四 集群与节点通信

• 所有节点间需互相可达，并放行 9000/TCP（集群通信与客户端访问）。
• 启动示例（3 节点）：
  • node1：minio server http://192.168.1.1:9000 http://192.168.1.2:9000 http://192.168.1.3:9000 --console-address ":9001"
  • node2：minio server http://192.168.1.2:9000 http://192.168.1.1:9000 http://192.168.1.3:9000 --console-address ":9001"
  • node3：minio server http://192.168.1.3:9000 http://192.168.1.1:9000 http://192.168.1.2:9000 --console-address ":9001"
• 控制台健康与节点信息可在任一节点的 9001 端口查看。

五 安全与访问控制

• 最小暴露面：仅开放必要端口；控制台与数据端口分离；公网仅暴露 443，内网使用 9000/9001。
• 加密与认证：全链路 TLS；设置强口令并定期轮换；通过代理或安全组限制来源网段。
• 主机加固：启用 AppArmor，例如设置 kernel.apparmor_restrict_unprivileged_unconfined=1，并用 aa-status 检查与调整高风险配置。
• 审计与可观测性：集中收集与轮转日志，监控服务健康与性能，定期更新系统与组件。