コンソール

MinIO のグラフィカル ユーザー インターフェイス

目次

• MinIO コンソール
  • インストール
    • ソースからビルドする
  • 設定
    • 1. mc使用してユーザーconsoleを作成します。
    • 2. すべてのリソースへの管理者アクセス権を持つconsoleのポリシーを作成します (テスト用)
    • 3. 新しいconsoleユーザーのポリシーを設定します。
  • コンソール サービスを開始します。
  • TLS を使用してコンソール サービスを開始します。
  • TLS と自己署名証明書を使用してコンソールを Minio に接続します
• コンソールプロジェクトに貢献する

MinIO コンソールは、MinIO サーバーの管理およびブラウザ UI オーバーレイを提供するライブラリです。スタンドアロン バイナリのインストール パスは削除されました。

コンソールのスタンドアロン バイナリが必要な場合は、次のようにソースからこのパッケージをビルドすることで生成できます。

動作する Go 環境が必要になります。したがって、「Go のインストール方法」に従ってください。必要な最小バージョンは go1.22 です

 go install github.com/minio/console/cmd/console@latest

console必要なのは、管理者権限を持つ MinIO ユーザーと、MinIO デプロイメントを指す URL だけです。

注: MinIO のオペレーター資格情報の使用はお勧めしません。

mc admin user add myminio/
Enter Access Key: console
Enter Secret Key: xxxxxxxx

cat > admin.json << EOF
{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"admin:*"
			],
			"Effect": "Allow",
			"Sid": ""
		},
		{
			"Action": [
                "s3:*"
			],
			"Effect": "Allow",
			"Resource": [
				"arn:aws:s3:::*"
			],
			"Sid": ""
		}
	]
}
EOF 

mc admin policy create myminio/ consoleAdmin admin.json

mc admin policy attach myminio consoleAdmin --user=console

注: さらに、他のconsoleユーザーの権限を制限するポリシーを作成できます。たとえば、ユーザーにダッシュボード、バケット、通知、視聴ページへのアクセスのみを許可したい場合、ポリシーは次のようになります。

{
  "Version" : " 2012-10-17 " ,
  "Statement" : [
    {
      "Action" : [
        " admin:ServerInfo "
      ],
      "Effect" : " Allow " ,
      "Sid" : " "
    },
    {
      "Action" : [
        " s3:ListenBucketNotification " ,
        " s3:PutBucketNotification " ,
        " s3:GetBucketNotification " ,
        " s3:ListMultipartUploadParts " ,
        " s3:ListBucketMultipartUploads " ,
        " s3:ListBucket " ,
        " s3:HeadBucket " ,
        " s3:GetObject " ,
        " s3:GetBucketLocation " ,
        " s3:AbortMultipartUpload " ,
        " s3:CreateBucket " ,
        " s3:PutObject " ,
        " s3:DeleteObject " ,
        " s3:DeleteBucket " ,
        " s3:PutBucketPolicy " ,
        " s3:DeleteBucketPolicy " ,
        " s3:GetBucketPolicy "
      ],
      "Effect" : " Allow " ,
      "Resource" : [
        " arn:aws:s3:::* "
      ],
      "Sid" : " "
    }
  ]
}

コンソール サービスを実行する前に、次の環境設定を指定する必要があります

 # Salt to encrypt JWT payload
export CONSOLE_PBKDF_PASSPHRASE=SECRET

# Required to encrypt JWT payload
export CONSOLE_PBKDF_SALT=SECRET

# MinIO Endpoint
export CONSOLE_MINIO_SERVER=http://localhost:9000

次に、コンソール サービスを開始します。

 ./console server
2021-01-19 02:36:08.893735 I | 2021/01/19 02:36:08 server.go:129: Serving console at http://localhost:9090

デフォルトでは、 consoleポート9090で実行されますが、これは選択した--portで変更できます。

public.crtとprivate.key ~/.console/certsにコピーして、次のようにします。

./console server
2021-01-19 02:36:08.893735 I | 2021/01/19 02:36:08 server.go:129: Serving console at http://[::]:9090
2021-01-19 02:36:08.893735 I | 2021/01/19 02:36:08 server.go:129: Serving console at https://[::]:9443

上級ユーザー向けに、 console複数のドメインを通じてクライアントにサービスを提供するための複数の証明書をサポートしています。

複数のドメインをサポートするには、次のツリー構造が想定されます。

 certs/
  │
  ├─ public.crt
  ├─ private.key
  │
  ├─ example.com/
  │   │
  │   ├─ public.crt
  │   └─ private.key
  └─ foobar.org/
     │
     ├─ public.crt
     └─ private.key
  ...

MinIO ca.crt ~/.console/certs/CAsの下にコピーし、次のようにします。

 export CONSOLE_MINIO_SERVER=https://localhost:9000
./console server

localhost:9090/api/v1/...でリクエストを実行することで、API が機能することを確認できます。

場合によっては、すべての HTTP リクエストをログに記録すると便利な場合があります。これを有効にするには、 CONSOLE_DEBUG_LOGLEVEL環境変数を次のいずれかの値に設定します。

• 0 (デフォルト) はログを使用しません。
• サーバー側エラー (ステータス コード 5xx) については、リクエストごとに1行のログが記録されます。
• クライアント側およびサーバー側のエラー (ステータス コード 4xx/5xx) について、リクエストごとに2行のログを記録します。
• すべてのリクエストのリクエストごとに3行のログ (ステータスコード 4xx/5xx)。
• サーバー側エラー (ステータス コード 5xx) のリクエストごとに4ログ詳細。
• クライアント側およびサーバー側のエラー (ステータス コード 4xx/5xx) について、リクエストごとに5ログの詳細。
• すべてのリクエストのリクエストごとに6ログ詳細 (ステータスコード 4xx/5xx)。

単一行のログには次の情報が含まれます。

• リクエストのリモート エンドポイント (IP + ポート)。リバース プロキシは、クライアントのブラウザの実際のリモート エンドポイントを隠す可能性があることに注意してください。
• HTTPメソッドとURL
• 応答のステータス コード (WebSocket 接続がハイジャックされているため、応答は表示されません)
• リクエストの期間

詳細なログには、すべての要求ヘッダーと応答ヘッダー (存在する場合) も含まれます。

コンソールの貢献者ガイドに従ってください。