Minio + Nginx 实现静态资源对外访问

Minio + Nginx 实现静态资源对外访问

背景：

        公司交付项目，文件服务java + minio实现文件基本功能。其中包含文件上传与下载与在线预览，由于文件下载功能实现方式问题（web直接调用文件预览接口，有minio直接返回可预览路径二次请求实现文件下载）。

        在公司局域网内没有问题，到客户环境文件无法下载，客户环境文件上传直接同网段局域网内部通讯没有问题，但是下载请求为公网，又不想打破网关内内网通讯，静态低敏访问直接开启对外访问权限的业务逻辑，所以，解决问题的方式只有一个，就是下载功能返回的路径必须是公网可以正常访问。

剖析问题：

        代理实现，配合dmz区  （这里用的是nginx）代理直接将请求转发一下就可以了，思路是对的，但是请求穿透到minio服务器后访问被拒绝，验证密钥失败。

        密钥？校验失败？要解决这个问题就要先了解minio加密与校验的环节，没有必要非的知道minio的加密手段，校验失败肯定就是在校验前，提供的校验参数与加密时不一致，问题出在哪里了呢？在转发前是没有问题的啊，转发之后可以访问了，但是校验不通过，那一定就是转发环节出了问题，结合以上分析，去minio找了官方文档，按照官方配置还是不可以。

        肯定是参与加密的参数不满足呀！

解决问题：

• minio（yaml.xml）配置

minio:oss:policyExpire: 300accessKeyId:  123456accessKeySecret:  123456endpoint: http://127.0.0.1:9199# 可以公网访问的域名，将minio返回的 ip 和端口直接替换就可以访问了web_endpoint: https://demo.chenyb-sec.combucketName: oss-chenyb# km 最大支持 5gmaxSize:  50

• nginx配置

server {listen       80;listen  443 ssl;server_name  https://demo.chenyb-sec.com;#选配 优化属性ignore_invalid_headers off;client_max_body_size 1000m;proxy_buffering off;#必须 防止请求头丢失underscores_in_headers on;   #选配 优化属性proxy_set_header        Host            $http_host;proxy_set_header        X-Real-IP       $remote_addr;proxy_set_header        X-Scheme        $scheme;proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;add_header Pragma       "no-cache";#选配 优化属性# 针对缺失"X-Content-Type-Options"头漏洞整改建议add_header X-Content-Type-Options nosniff;   #影响demo服务登出等功能# 针对缺失"X-XSS-Protection"头漏洞整改建议add_header X-XSS-Protection "1; mode=block";# 针对点击劫持：X-Frame-Options头缺失漏洞的整改建议#add_header X-Frame-Options "SAMEORIGIN";# 针对缺少HTTP Strict-Transport-Security头漏洞的整改建议add_header Strict-Transport-Security "max-age=31536000;includeSubdomains;";#必须 minio 转发路由# 路由与minio.oss.bucketName  保持一致 location /oss-chenyb/ {# minio.oss.endpoint 参数，参与签名(服务直连地址)proxy_set_header X-Real-IP 127.0.0.1:9199;# minio.oss.endpoint 参数，参与签名(服务直连地址)proxy_set_header Host 127.0.0.1:9199;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 300;# Default is HTTP/1, keepalive is only enabled in HTTP/1.1proxy_http_version 1.1;proxy_set_header Connection "";chunked_transfer_encoding off;# minio 服务直连地址proxy_pass  http://127.0.0.1:9199;}

• 注意两个配置文件呼应关系即可
  • web_endpoint：可以请求到nginx的域名
  • bucketName：最好是nginx路由规则
  • endpoint：能请求到minio的通讯地址，与proxy_pass、proxy_set_header Host、proxy_set_header X-Real-IP保持一致，因为要参与校验

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！