minio docker https 配置 踩坑

1.原minio是http+docker 端口映射是 19000:9000 19090:9090

docker run -it -p 19000:9000 -p 19090:9090 -d --name minio -e "MINIO_ACCESS_KEY=username" -e "MINIO_SECRET_KEY=password" -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/data:/data -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/conf:/root/.minio minio/minio server /data --console-address ":9000" --address ":9090"

2.HTTPS 证书

MinIO | Learn how to secure access to MinIO server with TLS

证书放在本地映射的conf/certs 里面

注意：

• 私钥需要命名为：private.key
• 公钥需要命名为：public.crt (如果公钥是以pem格式结尾，可直接改为crt格式)

启动MinIO容器：成功

坑1：

启动后，发现：

第一个坑：明明已经将TLS的公私钥放到了对应的位置，为什么显示Not secure？

原因是，TLS的公私钥对是针对wz.xxx.cn这个域名，而访问是用IP+port的方式，所以出现Not secure的问题。把请求改为域名+port，可解决第一个坑：

坑2：

在登录页面，输入用户名密码后，出现：

第二个坑：登录失败，报x509:cannot validate certificate for xxx.xxx.xxx.xxx because it doesn't contain any IP SANs

谷歌大法后，找不到对应的解决方案，于是去github的MinIO的issue里搜索“x509”，找到一个类似的问题（cannot login to minio console #12646）以及解决方案：

Run minio server --address "minio.ourdomain.com:443" --certs-dir /etc/minio/certs /mnt/disk{1...4}/data and it shall work fine - or add your IP to your certs.

 也就是说在启动MinIO服务的时候，需要在address字段指定其域名+端口号，那么修改docker启动配置如下：

docker run -it -p 19000:9000 -p 19090:9090 -d --name minio -e "MINIO_ACCESS_KEY=admin" -e "MINIO_SECRET_KEY=admin123" -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/data:/data -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/conf:/root/.minio minio/minio server /data --console-address ":9000" --address "wz.xxx.cn:9090"

重新登录，以为能解决这个问题，但是没想到，掉入了第三个坑。

坑3

给address添加域名后，启动docker容器报错：

那么问题就出现在address这个字段的配置上。结合之前没给address配置域名时可以成功启动并返回了MinIO自动分配的访问URL:

将docker启动配置修改下，将address配置成172.17.0.2:39000，即：

docker run -dit -p 39000:39000 -p 39001:39001 --name minio -v /mnt/data/miniotest/data:/data -v /mnt/data/miniotest/config:/root/.minio -e "MINIO_ACCESS_KEY=username" -e "MINIO_SECRET_KEY=password" minio/minio server /data --address "172.17.0.2:39000" --console-address ":39001"

重新启动，发现API的URL变成了https://172.17.0.2:39000：

也就是说，对address配置，是可以改变API对应的URL。那为什么访问配置成wz.xxx.cn:39000就不行呢？

其实到这里，就很容易会猜想：MinIO服务启动，是不是需要先判断address配置给定的URL是否网络可联通？于是测试了下，果然不出所料：

为什么wz.xxx.cn ping不通？这就涉及到阿里云ECS的网络环境问题了：

首先，该域名会映射到一个公网IP上；然后，该IP为弹性IP，与本ECS机器做绑定；但是，在该ECS里ping 这个弹性IP默认是ping不通的，也就是是说ping wz.xxx.cn也ping不通。

找到问题出在哪里后，解决就比较简单：给ECS添加一个本地hosts映射：

echo "111.111.111.111 wz.xxx.cn" >> /etc/hosts

说明：

• 111.111.111.111 是ECS本地eth0网卡的内网IP地址

然后启动容器，添加--network=host（docker容器使用宿主机网络）：

启动成功：

但是网页访问不到

lsof发现19000端口没有监听，只监听了9000

重新改如下：-p 19000:19000 -p 19090:19090

docker run --network=host -it -p 19000:19000 -p 19090:19090 -d --name minio -e "MINIO_ACCESS_KEY=admin" -e "MINIO_SECRET_KEY=admin" -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/data:/data -v /usr/local/etc/minio/RELEASE.2021-12-29T06-49-06Z.fips/conf:/root/.minio minio/minio server /data --console-address ":19000" --address "wz.xxx.cn:19090"

坑4：

在另外一台机器访问api 通

在应用服务器加host

echo "111.111.111.111 wz.xxx.cn" >> /etc/hosts

说明：

• 111.111.111.111 是minio服务器eth0网卡的内网IP地址