《Nginx反向代理MinIO集群全实战:负载均衡配置、SELinux安全策略与生产环境调优指南》

已于 2025-04-07 10:18:56 修改
阅读量589 收藏 8
点赞数 4
分类专栏: MinIO 文章标签: nginx 运维
于 2025-03-30 15:55:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IRpickstars/article/details/146767624
版权

目录

Nginx Proxy for MinIO Cluster

1. MinIO 集群配置

2. 安装配置 Nginx

2.1. 安装 Nginx

2.2. 配置 Nginx 作为负载均衡器

2.3. 解决SELinux限制

2.3.1. SELinux解析

2.3.2. SELinux限制解除

2.4. 启动 Nginx

2.5. 验证 Nginx 配置

2.6. 查看 Nginx 日志

Nginx Proxy for MinIO Cluster

虽然MinIO集群内置了负载均衡和高可用,但是用Nginx代理MinIO集群还有其他的好处:

  1. 负载均衡与高可用(非主要)
  2. 统一入口与域名管理
  3. 性能优化

1. MinIO 集群配置

首先已经部署了一个MinIO集群(例如 4 个节点:node201node202node203node204),并且每个节点都可以通过 HTTP 访问(例如 http://node201:9000)。MinIO集群搭建参考:MinIO在Linux上的集群安装与部署-优快云博客

2. 安装配置 Nginx

2.1. 安装 Nginx

在一台新的虚拟机或现有虚拟机上安装 Nginx,这里使用192.168.33.205

yum install nginx -y

2.2. 配置 Nginx 作为负载均衡器

编辑 Nginx 配置文件 vim /etc/nginx/nginx.conf,添加以下内容:

http {
  upstream minio_api {
    # 配置 MinIO 集群节点
    server node201:9000;
    server node202:9000;
    server node203:9000;
    server node204:9000;
  }
  upstream minio_console {
    # 配置 MinIO 集群节点
    server node201:9001;
    server node202:9001;
    server node203:9001;
    server node204:9001;
  }
  server {
    listen 9000;
    server_name 192.168.33.205;  # 替换为你的域名或 IP

    location / {
      proxy_pass http://minio_api;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
    }
  }
  server {
    listen 9001;
    server_name 192.168.33.205;  # 替换为你的域名或 IP

    location / {
      proxy_pass http://minio_console;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
    }
  }
}
  • upstream minio_cluster:定义 MinIO 集群节点。
  • proxy_pass:将请求转发到 MinIO 集群。

2.3. 解决SELinux限制

2.3.1. SELinux解析

SELinux(Security-Enhanced Linux)是 Linux 内核的强制访问控制(MAC)安全模块,核心作用包括:

  1. 最小权限原则
    每个进程(如Nginx、Minio)仅拥有完成其任务所需的最小权限,即使进程以root身份运行,仍受策略限制。
    示例:Nginx默认无法绑定非HTTP端口,也无法访问Minio集群地址。
  2. 防止提权攻击
    即使攻击者利用漏洞获取进程控制权,也无法突破SELinux策略访问其他资源。
  3. 细粒度资源控制
    通过定义策略,精确控制:
    • 进程能访问的文件、目录、端口。
    • 进程之间的通信权限(如Nginx与Minio的API交互)。
  1. 安全上下文(Context)
    所有系统资源(文件、端口、进程)被赋予安全标签(如 http_port_t),策略基于标签匹配权限。

模式

作用

适用场景

Enforcing

强制执行安全策略,阻止所有违反策略的操作,并记录日志。

生产环境,需严格安全控制时。

Permissive

仅记录违反策略的操作,不实际阻止。用于审计和调试策略问题。

调试阶段,需要观察哪些操作会被SELinux拦截,但不想中断服务时。

Disabled

完全关闭SELinux,不加载任何策略。需重启生效,且重新启用后需重新标记文件系统上下文。

临时解决兼容性问题,或确认问题与SELinux无关时(不推荐长期使用)。

sudo setenforce 1       # 切换为Enforcing(临时生效,重启后失效)
sudo setenforce 0       # 切换为Permissive
sudo vi /etc/selinux/config  # 永久修改模式(需重启)
2.3.2. SELinux限制解除
  • SELinux 限制访问外部网络

SELinux会限制 httpd_t(Nginx 进程域)的网络访问权限,拦截对外部服务的 TCP 连接,需要手动开启

# 永久允许Nginx网络连接
setsebool -P httpd_can_network_connect 1
# 验证设置
getsebool httpd_can_network_connect
  • SELinux 的端口类型限制

SELinux 为不同服务定义了可绑定的端口类型:80, 443, 8080, 8443等,非标准端口默认不属于 http_port_t,因此 Nginx 会被 SELinux 阻止绑定,需要手动添加

yum install policycoreutils-python -y
#检查端口是否被 SELinux 允许
semanage port -l | grep http_port_t
# 添加端口 9000 9001 到 http_port_t 类型
semanage port -a -t http_port_t -p tcp 9000
semanage port -a -t http_port_t -p tcp 9001

2.4. 启动 Nginx

systemctl start nginx
systemctl enable nginx

2.5. 验证 Nginx 配置

访问 Nginx 服务器的 IP 或域名(例如 http://192.168.33.205:9000),确认请求被正确转发到 MinIO 集群。

2.6. 查看 Nginx 日志

tail -f /var/log/nginx/error.log
tail -f /var/log/nginx/access.log
基于Docker MinIO整合Nginx搭建反向代理
airouroudewenjie的博客
03-16 2859
基于Docker 为minio搭建nginx反向代理
Minio 集群生产环境部署示例
欢迎来到我的技术分享博客!这里将带你深入了解AI技术、Java架构设计、系统开发与优化等前沿技术内容。我专注于从实战经验
07-04 1774
上述步骤详细描述了如何在生产环境中部署和配置 MinIO 集群,包括安装、配置、启动、验证和安配置等方面。通过这些步骤,你可以搭建一个高性能、高可用的分布式对象存储系统。通过这些步骤,您应该能够解决 MinIO 集群启动时节点无法连接的问题。确保每个节点的服务运行、网络连接正常、防火墙设置正确,并确认配置文件中的路径和权限设置正确,是保证 MinIO 集群正常运行的关键。如果问题仍然存在,请检查最新的错误日志,并提供更多详细信息以便进一步诊断。
Nginx服务器反向代理MinIO配置
阳宗德的博客
10-24 2227
【代码】Nginx服务器反向代理MinIO配置
NGINX配置Minio集群
极客神殿
10-01 1595
现在,NGINX将充当Minio集群反向代理,将传入的请求分发到Minio服务器上,实现了负载均衡和HTTPS支持。确保您的DNS已正确配置以将域名解析到NGINX服务器的IP地址。这允许您将所有传入的HTTP请求转发到Minio集群中的一个或多个Minio服务器上,并实现负载均衡。请注意,上述配置假定您已经获得了SSL证书并将其配置NGINX中。服务器IP地址和端口号,您可以根据需要添加更多的服务器。替换为您的SSL证书和私钥文件的实际路径。指令,NGINX将请求转发到。,并将所有传入的请求代理到。
nginx代理minio
最新发布
weixin_52421763的博客
04-09 797
这里是我的项目的整个配置文件。
记录nignx配置websocket不生效
xyw19991006的博客
04-17 1034
nginx配置反向代理minio的websocket
【备忘录】Minionginx中非root路径配置
Qinghub‘博客
04-11 637
Minionginx中非root路径配置
基于Linux使用Nginx反向代理minio文件服务器,提供文件公共访问
trustProcess的博客
11-18 4196
基于Linux使用Nginx反向代理minio文件服务器,提供文件公共访问
nginx配置动态代理
weixin_43404791的博客
10-02 3955
#HTTPS server server { listen 443 ssl; server_name www.lixxxx.top; ssl_certificate cert/server.crt; ssl_certificate_key cert/server.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers ECDHE-RS
Nginx配置minio反向代理
m0_61833874的博客
11-22 5253
前置条件:服务器中已经安装了docker。
Nginx 反向代理 MinIO:解决 400 Bad Request
三心二逸的博客
07-07 6145
当我们在构建个人博客或网站时,为了提高资源访问的速度和稳定性,经常会使用对象存储服务,如 MinIO,来存储静态资源,例如图片。而为了让网站看起来更加专业和美观,我们通常不希望用户直接看到后端存储的地址和端口,这时就可以利用 Nginx 进行反向代理,隐藏真实的后端服务地址。Nginx反向代理功能强大,但在配置时需要注意一些细节,特别是当后端服务对请求头有特定要求时。对于 MinIO 这样的对象存储服务,确保传递正确的 Host 信息是关键。如果你有其他相关的经验或知识,欢迎在评论区分享!
Centos7系统安漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
现有8台国产化服务器,参数为:CPU信息:≥2颗Hygon 7380(主频:2.2GHz、物理核心数:32核、末级缓存容量:64MB、线程数:64、热设计功耗:220W;内存128GB;硬盘:4TB SAS HDD*3;操作系统:麒麟V10以上服务器。作为架构师,我需要部署mysql数据库、视图库、大数据分析环境、数据交换服务、以及文件存储和平台系统应用,应该怎么分配和安装哪些软件
03-14
- **软件选型**:Tomcat 10 + Nginx 1.23(反向代理) - **部署要点**: - Server 8部署Tomcat,分配32GB内存(`JAVA_OPTS=-Xmx24G`)。 - Nginx配置负载均衡,后端指向本地Tomcat和其他服务API。 --- ### *...
‍️CentOS7.9 mall 部署【高可用版本】【本机部署】
qq_62866151的博客
10-27 1177
important] -组织架构mall├── mall-common – 工具类及通用代码├── mall-mbg – MyBatisGenerator生成的数据库操作代码├── mall-security – SpringSecurity封装公用模块├── mall-admin – 后台商城管理系统接口├── mall-search – 基于Elasticsearch的商品搜索系统├── mall-portal – 前台商城系统接口。
【linux】使用systemctl start xxx启动自己的程序|开机启动|守护进程
小鱼菜鸟的博客
07-22 3247
目录 即看即用 详细说明 systemctl 的用途 用法 例子:以管理我们的程序verdaccio为例 开机启动 设置程序开机启动、关闭、启用/禁用服务以vsftpd为例 三个部分[Unit]、[Service]、[Install]配置说明 systemctl或service启动服务日志 systemctl和service的区别 ...
Nginx代理Minio集群
weixin_55652418的博客
01-02 2705
Minio是一种对象存储工具,使用Minio集群存储对象非常可取。在搭建集群后需要一个统一入口,踩过nginx代理Minio集群的坑。
不看后悔一辈子的MINIO配置文档(内含NGINX反向代理配置文件)
rouge1125的博客
05-21 1万+
一个秀的运维当然要会成本控制,快拿去找领导邀功吧!
手把手教你快速搭建MinIO私有云存储:Nginx反向代理配置攻略
ζั͡山 ั͡有扶苏 ั͡✾的博客
03-11 1789
MinIO安装配置:通过二进制文件快速部署MinIO,并配置Systemd服务实现开机自启,集成环境变量(如MINIO_ROOT_USER和MINIO_BROWSER_REDIRECT_URL),确保服务高可用性。Nginx反向代理实战:详解如何通过Nginx代理MinIO的S3 API(端口9800)和控制台(端口9889),配置路径重写(/minio-api/和/minio/ui/)、WebSocket支持及大文件传输化,解决代理场景下的路径冲突和资源加载问题。
minio+nginx 集群快速搭建
莫忘、初心
02-19 3109
Erasure Coding:minIO 还支持纠删码技术(Erasure Coding),通过将数据进行编码和切片,并在多个节点上存储切片的方式来提高存储效率和容错性。通过以上流程,minIO 集群实现了高效的对象存储服务,具备高可用性、高性能和弹性伸缩的特点,适用于各种存储场景,如大规模数据存储、备份和归档等。元数据通常存储在单独的数据库中,以提高查询效率。分布式架构:minIO 集群由多个独立的 minIO 实例组成,在不同的物理服务器或虚拟机上运行,这些实例协同工作以提供存储服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值