minio-operator部署指南

概述

MinIO 提供高性能、兼容 S3 的对象存储,原生于 Kubernetes


版本说明 - 服务

名称

版本

描述

console

v0.19.0

租户控制台

operator

v4.4.25

minio-operator

minio

RELEASE.2022-06-20T23-13-45Z

minio server

busybox

busybox:1.33.1

初始化日志api服务

postgres

library/postgres:13

数据库服务

版本说明 - 测试工具

名称

版本

描述

kubectl-minio

v4.4.25

kubectl minio 插件(初始化operator、管理租户)

mc

RELEASE.2022-07-06T14-54-36Z

minio客户端管理工具

依赖服务

名称

版本

描述

kubernetes

1.19.x

k8s集群

RKE集群说明

  • rke集群的kubelet服务是基于docker部署,因此无法操作宿主机文件系统,所以需要将抽象成PV资源的hostpath挂载至kubelet
  • rke集群默认没有指定集群范围签名的CA机构,但是由于minio-operator初始化时会生成csr并向api请求tls认证,如果没有指定签名的CA机构,csr请求将不会被处理且minio-operator将无法正常初始化完成,所以需要在kube-controller服务启动参数中指定集群签名的CA机构

需要在rke 的cluster.yaml文件中按需填写以下配置

services:
    kubelet:
      extra_binds:
        - "<hostPath>:<hostPath>"
    kube-controller:
      extra_args:
       cluster-signing-cert-file: /etc/kubernetes/ssl/kube-ca.pem
       cluster-signing-key-file: /etc/kubernetes/ssl/kube-ca-key.pem

配置

初始化minio-opeator

minio-operator初始化后会启动两个pod,其中operator为minio的控制器,而console则为多租户管理程序

#kubectl-minio拷贝至可搜寻路径并赋予执行权限
#拷贝kubectl-minio文件至目标目标时,名称需要保持一致
cp tools/kubectl-minio /usr/local/bin/ && chmod +x /usr/local/bin/kubectl-minio
#查看插件版本以确认该插件是否可用
kubectl minio version 
#初始化operator,指定operator、console的镜像版本,默认会创建minio-operator名称空间并在该空间安装operator资源
kubectl minio init --image=reg.chebai.org/icospaas/minio/operator:v4.4.25 \
--console-image=reg.chebai.org/icospaas/minio/console:v0.19.0
#查看operator安装状态
kubectl get all -n minio-operator

访问operator-console

#该命令会创建operator console的代理,并生成jwt token用于登录
kubectl minio proxy  -n minio-operator

可正常登录则说明operator已经初始化完成且处于可用状态

Storage Class

创建一个自定义的StorageClass供minio租户的PV使用,minio租户要求volumeBindingMode设置为WaitForFirstConsumer

#创建存储类资源
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
    name: node-local-storage
provisioner: kubernetes.io/no-provisioner
volumeBindingMode: WaitForFirstConsumer

Persistent Volume

tenant_pv

  • pv需要绑定k8s节点上的路径目录作为存储资源
  • 目录需要为空,且挂载的磁盘容量需要满足pv请求资源的要求
  • 如节点上没有所需的请求资源,则需要额外挂载磁盘
  • pv的容量需要提前规划,详情可以先查看Create Tenant.volumes下的内容
  • pv的数量取决于需要多少个volume

创建前需要根据需求替换pv.yaml文件中的name、storage、path、values字段的值

#创建pv资源
apiVersion: v1
kind: PersistentVolume
metadata:
   name: node1-volume-01  #根据需求指定pv名称
spec:
  capacity:
   storage: 80Gi #根据需求修改存储大小
  volumeMode: Filesystem
  accessModes:
  - ReadWriteOnce
  persistentVolumeReclaimPolicy: Retain
  storageClassName: node-local-storage
  local:
   path: /minio/data1 #拥有volume的文件路径
  nodeAffinity:
   required:
    nodeSelectorTerms:
    - matchExpressions:
      - key: kubernetes.io/hostname
        operator: In
        values:
        - node1 #选择拥有当前资源需求的节点

log_pv

创建5Gi的PV给tenant log服务所使用

#创建pv资源并根据实际需求修改log_pv.yaml文件name、path、values字段的值
apiVersion: v1
kind: PersistentVolume
metadata:
   name: minio-log-pv #根据租户名称修改该值
spec:
  capacity:
   storage: 5Gi
  volumeMode: Filesystem
  accessModes:
  - ReadWriteOnce
  persistentVolumeReclaimPolicy: Retain
  storageClassName: minio-log-storage
  local:
   path: /minio/data1 #拥有volume的文件路径
  nodeAffinity:
   required:
    nodeSelectorTerms:
    - matchExpressions:
      - key: kubernetes.io/hostname
        operator: In
        values:
        - node1 #选择拥有当前资源需求的节点

Create Tenant

租户需要和namespace进行绑定,然后在namespace下初始化minio集群,而这一整体被称之为一个租户(tenant)

volumes

创建租户前需要提前规划所需总容量以及volume个数(volume个数推荐>=4),可以根据总容量和volume个数来计算单个pv的容量,计算公式如下

**总容量 / 磁盘数量 = 单个PV的容量 **

提示:valume >= 4 才能拥有erasure code(纠删码)的功能

servers

根据集群实际规模或者servers配置来决定一个server绑定多少个volume

sample:
--servers 4 --volumes 4 则每个server绑定一个volume
--servers 2 --volumes 4 则每个server绑定两个volume

初始化minio集群

#创建名称空间
kubectl create ns <namespace>
#初始化租户(servers、volumes、capacity值根据实际需求进行填写)
kubectl minio tenant create  <tenant-name> \
--servers 4 --volumes 4  \ 
--capacity 320Gi \ #320Gi为假设需要的存储资源,由于volumes为4,那么 320Gi / 4 即得出单个pv为80Gi,一共则需要4个80Gi的pv
--storage-class node-local-storage \
--audit-logs-storage-class minio-log-storage \ 
--namespace <namespace> \
--image reg.chebai.org/icospaas/minio/minio:RELEASE.2022-06-20T23-13-45Z \ 
--audit-logs-image reg.chebai.org/icospaas/minio/operator:v4.4.25 \  
--audit-logs-pg-init-image reg.chebai.org/icospaas/minio/busybox:1.33.1  \ 
--audit-logs-pg-image  reg.chebai.org/icospaas/minio/postgres:13
  • 创建后会返回当前租户的根鉴权信息,需妥善保管
  • 通过kubectl get svc -n <namespace> 查看svc信息,其中minio用于集群内应用所使用,console则用于web端管理,如需集群外访问,可基于ingress来实现
    创建租户console ingress
#根据需求修改./ingress/tenant_minio_console.yaml中的namespace、host、nginx.ingress.kubernetes.io/proxy-body-size、service.name字段的值
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console
  namespace: <namespace>
  annotations:
   nginx.ingress.kubernetes.io/proxy-body-size: <100m>
   nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
   nginx.ingress.kubernetes.io/ssl-passthrough: "true"
spec:
  ingressClassName: "nginx"
  rules:
  - host: <domain>
    http:
      paths:
      - backend:
          service:
            name: <svc_name>
            port:
              number: 9443
        path: /
        pathType: Prefix

创建租户minio ingress

#根据需求修改namaspace、host、nginx.ingress.kubernetes.io/proxy-body-size字段的值
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: minio
  namespace: <namespace>
  annotations:       
   nginx.ingress.kubernetes.io/proxy-body-size: <100m>
   nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
   nginx.ingress.kubernetes.io/ssl-passthrough: "true"
spec:
  ingressClassName: "nginx"
  rules:
  - host: <domain>
    http:
      paths:
      - backend:
          service:
            name: minio
            port:
              number: 443
        path: /
        pathType: Prefix

测试

登录Operator console查看租户状态

#创建operator-console ingress,且根据需求修改ingress.yaml文件中host、nginx.ingress.kubernetes.io/proxy-body-size字段的值
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console
  namespace: minio-operator
  annotations:       
   nginx.ingress.kubernetes.io/proxy-body-size: <100m>
spec:
  ingressClassName: "nginx"
  rules:
  - host: <domain>
    http:
      paths:
      - backend:
          service:
            name: console
            port:
              number: 9090
        path: /
        pathType: Prefix
#在访问客户端上增加hosts记录 || dns服务器增加解析记录
<address> <domain>
#获取console控制台token,获取到token后请及时终止该proxy
kubectl minio proxy -n minio-operator

通过域名访问operator console服务

k8s 部署nginx controller k8s 部署minio_nginx

冒烟测试

minio-operator在初始化集群时是基于k8s的ca自签的证书且无法通过校验,所以mc操作租户minio时需要加上--insecure

#将mc工具添加至可搜寻路径并赋予执行权限
cp tools/mc /usr/local/sbin  && chmod +x /usr/local/sbin/mc
#添加minio cluster信息(集群内endpoint为svc的地址、集群外endpoint则为ingress的域名)
mc alias set minio1 <endpoint>  <key>  <secretKey> --insecure 
#创建bucket
mc mb minio1/test --insecure
#上传文件至test bucket
mc cp ./kubectl-minio minio1/test --insecure
#查看test bucket中的文件
mc ls  minio1/test  --insecure

清理

清理minio租户

kubectl minio tenant delete <tenent_name> -n <namespace>

清理minio-operator

kubectl minio delete