Minio + Nginx 实现静态资源对外访问
背景:
? ? ? ? 公司交付项目,文件服务java + minio实现文件基本功能。其中包含文件上传与下载与在线预览,由于文件下载功能实现方式问题(web直接调用文件预览接口,有minio直接返回可预览路径二次请求实现文件下载)。
? ? ? ? 在公司局域网内没有问题,到客户环境文件无法下载,客户环境文件上传直接同网段局域网内部通讯没有问题,但是下载请求为公网,又不想打破网关内内网通讯,静态低敏访问直接开启对外访问权限的业务逻辑,所以,解决问题的方式只有一个,就是下载功能返回的路径必须是公网可以正常访问。
剖析问题:
? ? ? ? 代理实现,配合dmz区??(这里用的是nginx)代理直接将请求转发一下就可以了,思路是对的,但是请求穿透到minio服务器后访问被拒绝,验证密钥失败。
? ? ? ? 密钥?校验失败?要解决这个问题就要先了解minio加密与校验的环节,没有必要非的知道minio的加密手段,校验失败肯定就是在校验前,提供的校验参数与加密时不一致,问题出在哪里了呢?在转发前是没有问题的啊,转发之后可以访问了,但是校验不通过,那一定就是转发环节出了问题,结合以上分析,去minio找了官方文档,按照官方配置还是不可以。
? ? ? ? 肯定是参与加密的参数不满足呀!
解决问题:
minio:
oss:
policyExpire: 300
accessKeyId: 123456
accessKeySecret: 123456
endpoint: http://127.0.0.1:9199
# 可以公网访问的域名,将minio返回的 ip 和端口直接替换就可以访问了
web_endpoint: https://demo.chenyb-sec.com
bucketName: oss-chenyb
# km 最大支持 5g
maxSize: 50
server {
listen 80;
listen 443 ssl;
server_name https://demo.chenyb-sec.com;
#选配 优化属性
ignore_invalid_headers off;
client_max_body_size 1000m;
proxy_buffering off;
#必须 防止请求头丢失
underscores_in_headers on;
#选配 优化属性
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
add_header Pragma "no-cache";
#选配 优化属性
# 针对缺失"X-Content-Type-Options"头漏洞整改建议
add_header X-Content-Type-Options nosniff; #影响demo服务登出等功能
# 针对缺失"X-XSS-Protection"头漏洞整改建议
add_header X-XSS-Protection "1; mode=block";
# 针对点击劫持:X-Frame-Options头缺失漏洞的整改建议
#add_header X-Frame-Options "SAMEORIGIN";
# 针对缺少HTTP Strict-Transport-Security头漏洞的整改建议
add_header Strict-Transport-Security "max-age=31536000;includeSubdomains;";
#必须 minio 转发路由
# 路由与minio.oss.bucketName 保持一致
location /oss-chenyb/ {
# minio.oss.endpoint 参数,参与签名(服务直连地址)
proxy_set_header X-Real-IP 127.0.0.1:9199;
# minio.oss.endpoint 参数,参与签名(服务直连地址)
proxy_set_header Host 127.0.0.1:9199;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_connect_timeout 300;
# Default is HTTP/1, keepalive is only enabled in HTTP/1.1
proxy_http_version 1.1;
proxy_set_header Connection "";
chunked_transfer_encoding off;
# minio 服务直连地址
proxy_pass http://127.0.0.1:9199;
}
- 注意两个配置文件呼应关系即可
- web_endpoint:可以请求到nginx的域名
- bucketName:最好是nginx路由规则
- endpoint:能请求到minio的通讯地址,与proxy_pass、proxy_set_header Host、proxy_set_header X-Real-IP保持一致,因为要参与校验
|