专为数据设计的防火墙：MinIO 企业对象存储防火墙

虽然市面上有许多防火墙，但它们通常分为两类：基于 IP 的防火墙和应用程序防火墙。基于IP的防火墙，在第3层和第4层运行，简单，轻量级，相当原始。他们根据 IP 地址和端口号做出决策，以允许或阻止网络流量。另一方面，应用程序防火墙在第 7 层运行，主要处理 Web 流量，根据 Web 应用程序中的通信内容做出决策，以允许或阻止网络流量。

他们有自己的工作，最好的人做得很好。

基于 IP 的防火墙和应用程序防火墙都不是为数据而设计的。这就是我们构建 MinIO 企业对象存储防火墙的原因，因为在现代企业中，数据是必须保护的，并且不存在 S3 感知防火墙。

MinIO 企业对象存储防火墙专门设计用于使用 MinIO 对象存储及其 API 端点的应用程序。企业防火墙轻量级、功能强大、灵活且可扩展。它直接从 MinIO Enterprise Console 进行管理，并支持：

• 按 Rx/Tx 限制带宽，按请求速率限制带宽
• 跨 MinIO 服务器的负载平衡
• 活动端口监控以实现高可用性
• 支持在单独端口对负载均衡器进行健康检查
• 支持 S3、SFTP 和控制台终端节点
• Auto-TLS， Let's Encrypt 支持

我们建议大家使用 MinIO Enterprise Console 进行配置。它允许用户使用您选择的任何规则配置一个或所有 MinIO 实例。如果需要，Enterprise Console 甚至允许上传 YAML 文件。

您可以使用 Enterprise Console 配置 TLS 证书、S3 端口、控制台、SFTP 和运行状况检查端口，以及 MinIO 对象存储等的端点。

MinIO 对象存储防火墙规则可以配置为应用于所有存储桶或特定对象前缀。可以将规则配置为允许或拒绝对存储桶的访问、限制带宽和请求速率限制。请记住，MinIO 对象存储防火墙可识别 S3 API，因此在规则创建方面具有非凡的灵活性。甚至可以收紧 IAM 策略，但不能放松，因为它在数据层运行。这包括 DELETE、GET 调用的 #、匿名请求的处理量、频率、处理方式等所有内容。

特定于存储桶或前缀的规则优先于通配符规则“*”。如果未为特定 API 指定特定于存储桶的规则，则应用通配符规则（如果已指定）。换言之，规则将按照最具体前缀到最不具体前缀的顺序进行评估。

让我们举几个例子来更好地理解这一点。

在下面的示例中，对于存储桶中的对象 mybucket1 ，下载和上传速率被限制为 10MB/s 请求 s3.PutObject 10 数上限为请求数/秒。

以下规则将 mybucket1 限制以及所有其他存储桶 s3.GetObject 请求数/ 100 秒。这是因为没有特定的规则， bucket: "mybucket*" 因此通配符规则“*”也适用于 mybucket1 s3.GetObject

但 downloadRatePerSec 和 uploadRatePerSec 将不适用于，mybucket1因为上述规则优先，因为它更具体。

MinIO 对象存储防火墙规则拒绝所有对 myprefix 存储桶中 mybucket 前缀的请求

MinIO 对象存储防火墙规则将 mybucket 存储桶的上传和下载带宽限制为 4MiB

最后，我们有了 anonymous 规则。

任何与任何前缀不匹配的规则都将默认为该 anonymous 规则。但即使这样，也可以覆盖所有（或特定）存储桶，如下所示：

测验！！！

我知道，我在高中时也讨厌这些，但我保证这个很容易，否则就是我解释得不够好。

如果您有 2 个存储桶， mybucket809 并且 yourbucket901 使用以下规则，API 调用的s3.ListObjectsV2限制率是多少？请注意，默认情况下，允许在企业防火墙规则中未指定的 API。

在下面突出显示以找出答案

你的回答正确吗？

最后的思考

正如你所看到的，这是一个简单的流行测验，因为我在详细解释规则方面做得非常出色。但说真的，请仔细阅读这些规则，以确保您对它们有很好的理解以及它们的优先级。

MinIO Enterprise Object Store Firewall 的美妙之处在于，它不仅非常容易启动和运行，这遵循了我们构建的任何产品的精神，而且规则也很简单。复杂的IPtables策略的日子已经一去不复返了。企业防火墙通过关注对象存储及其 API 调用所需的规则，使它变得简单。它经过优化，可确保没有延迟或不可预见的规则阻止对 MinIO 对象存储的访问。