对象存储 - souloss

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

2147 字

6 分钟

对象存储

2025-09-27

存储

/

底层原理

POSIX 文件系统的目录树、权限检查、文件锁——这些语义在单机上好用，到了超大规模反而成了枷锁。一个目录下放百万文件，ls 就卡死；跨节点维护一致性元数据的开销，随规模指数级增长。S3 的设计者做了一个大胆的决定：砍掉 POSIX 语义，只保留 Put/Get/Delete 三个操作。没有目录，没有权限树，没有文件锁——换来的是几乎无限的水平扩展能力。

对象存储用 Key-Object 模型替代目录树，用纠删码替代 RAID，用最终一致性替代强一致——这是为海量非结构化数据量身定制的存储范式。

一、对象存储概述#

1.1 从文件系统到对象存储#

graph TB subgraph 文件系统["文件系统"] DIR1["/data/"] --> DIR2["images/"] DIR2 --> FILE1["photo1.jpg"] DIR2 --> FILE2["photo2.jpg"] DIR1 --> DIR3["logs/"] DIR3 --> FILE3["app.log"] end subgraph 对象存储["对象存储"] BUCKET["Bucket: my-data"] OBJ1["images/photo1.jpg → 二进制数据 + 元数据"] OBJ2["images/photo2.jpg → 二进制数据 + 元数据"] OBJ3["logs/app.log → 二进制数据 + 元数据"] end style DIR1 fill:#ffe0b2,stroke:#e65100 style BUCKET fill:#c8e6c9,stroke:#2e7d32

维度	文件系统	对象存储
数据组织	目录树	扁平命名空间
访问方式	POSIX API	HTTP REST API
元数据	固定属性（inode）	自定义元数据
一致性	强一致	通常最终一致
修改	支持原地修改	只支持整体替换
规模	百万级文件	万亿级对象
协议	NFS/SMB/CIFS	S3/Swift

1.2 对象存储的核心概念#

概念	说明	类比
Object	数据 + 元数据 + 唯一标识	文件
Bucket	对象的命名空间	目录/卷
Key	对象的唯一标识（Bucket 内）	文件路径
Metadata	对象的自定义元数据	扩展属性
ETag	对象的内容哈希	校验和
Version	对象的版本号	—

二、S3 协议#

2.1 S3 API 核心操作#

1
# S3 核心操作
2
# 创建桶
3
aws s3 mb s3://my-bucket
4

5
# 上传对象
6
aws s3 cp photo.jpg s3://my-bucket/images/
7

8
# 下载对象
9
aws s3 cp s3://my-bucket/images/photo.jpg ./
10

11
# 列出对象
12
aws s3 ls s3://my-bucket/images/
13

14
# 删除对象
15
aws s3 rm s3://my-bucket/images/photo.jpg
16

17
# 分片上传（大文件）
18
aws s3 cp large-file.tar.gz s3://my-bucket/ --storage-class STANDARD_IA
19

20
# 生命周期管理
21
aws s3api put-bucket-lifecycle-configuration \
22
    --bucket my-bucket \
23
    --lifecycle-configuration file://lifecycle.json

2.2 S3 一致性模型#

操作	S3 之前	S3 现在（2020+）
写新对象	原子（强一致）	强一致
覆盖写	最终一致	强一致
删除	最终一致	强一致
列表	最终一致	强一致

Note

2020 年后，AWS S3 已对所有操作提供强一致性。但自建的 MinIO 和其他兼容 S3 的存储可能仍使用最终一致性模型。使用前需确认一致性保证。

2.3 S3 存储类别#

类别	可用性	访问频率	存储成本	访问成本	最低存储时间
STANDARD	99.99%	频繁	高	低	无
STANDARD_IA	99.9%	不频繁	低	较高	30 天
ONEZONE_IA	99%	不频繁	更低	较高	30 天
GLACIER	99.9%	归档	极低	高	90 天
DEEP_ARCHIVE	99.9%	长期归档	最低	最高	180 天

三、MinIO 架构#

3.1 MinIO 整体架构#

graph TB subgraph MinIO["MinIO 架构"] CLIENT_M["S3 客户端"] --> LB["负载均衡"] LB --> NODE1["MinIO 节点 1 Server 1"] LB --> NODE2["MinIO 节点 2 Server 2"] LB --> NODE3["MinIO 节点 3 Server 3"] LB --> NODE4["MinIO 节点 4 Server 4"] NODE1 --> DISK1["磁盘 1-4"] NODE2 --> DISK2["磁盘 1-4"] NODE3 --> DISK3["磁盘 1-4"] NODE4 --> DISK4["磁盘 1-4"] end style CLIENT_M fill:#e3f2fd,stroke:#1565c0 style NODE1 fill:#c8e6c9,stroke:#2e7d32 style NODE2 fill:#c8e6c9,stroke:#2e7d32

3.2 MinIO 纠删码#

MinIO 使用纠删码保护数据，默认配置为 N/2 数据块 + N/2 校验块：

1
# MinIO 纠删码配置
2
# 4 节点 × 4 磁盘 = 16 磁盘
3
# 默认: 8 数据块 + 8 校验块
4
# 可容忍 8 块磁盘故障
5
# 空间利用率: 50%
6

7
# 自定义配置
8
# 16 磁盘: 12 数据 + 4 校验
9
# 可容忍 4 块磁盘故障
10
# 空间利用率: 75%
11

12
minio_ec_configs = {
13
    "默认 (8+8)": {
14
        "data_blocks": 8,
15
        "parity_blocks": 8,
16
        "fault_tolerance": 8,
17
        "utilization": "50%",
18
    },
19
    "高利用率 (12+4)": {
20
        "data_blocks": 12,
21
        "parity_blocks": 4,
22
        "fault_tolerance": 4,
23
        "utilization": "75%",
24
    },
25
    "高容错 (4+12)": {
26
        "data_blocks": 4,
27
        "parity_blocks": 12,
28
        "fault_tolerance": 12,
29
        "utilization": "25%",
30
    },
31
}

3.3 MinIO 读写流程#

sequenceDiagram participant Client participant MinIO as MinIO Gateway participant D1 as Disk 1 (Data) participant D2 as Disk 2 (Data) participant P1 as Disk 3 (Parity) participant P2 as Disk 4 (Parity) Client->>MinIO: PUT object MinIO->>MinIO: 计算 EC 编码 MinIO->>D1: 写入数据块 1 MinIO->>D2: 写入数据块 2 MinIO->>P1: 写入校验块 1 MinIO->>P2: 写入校验块 2 D1-->>MinIO: ACK D2-->>MinIO: ACK P1-->>MinIO: ACK P2-->>MinIO: ACK MinIO-->>Client: 200 OK (ETag)

四、多地域复制#

4.1 S3 跨地域复制#

1
# 配置 S3 跨地域复制
2
# 1. 开启版本控制
3
aws s3api put-bucket-versioning \
4
    --bucket my-bucket \
5
    --versioning-configuration Status=Enabled
6

7
# 2. 创建复制配置
8
aws s3api put-bucket-replication \
9
    --bucket my-bucket \
10
    --replication-configuration file://replication.json
11

12
# replication.json
13
# {
14
#   "Role": "arn:aws:iam::123456:role/s3-replication",
15
#   "Rules": [{
16
#     "Status": "Enabled",
17
#     "Destination": {
18
#       "Bucket": "arn:aws:s3:::my-bucket-replica",
19
#       "StorageClass": "STANDARD"
20
#     }
21
#   }]
22
# }

4.2 MinIO 站点复制#

1
# MinIO 站点复制配置
2
# 主站点
3
mc admin bucket remote add \
4
    myminio/mybucket \
5
    http://minio-replica:9000/mybucket \
6
    --name replica-site
7

8
# 启用版本控制
9
mc version enable myminio/mybucket
10

11
# 验证复制状态
12
mc admin bucket remote ls myminio/mybucket

五、生命周期管理#

5.1 生命周期规则#

1
{
2
  "Rules": [
3
    {
4
      "ID": "Transition to IA after 30 days",
5
      "Status": "Enabled",
6
      "Transitions": [
7
        {
8
          "Days": 30,
9
          "StorageClass": "STANDARD_IA"
10
        }
11
      ]
12
    },
13
    {
14
      "ID": "Transition to Glacier after 90 days",
15
      "Status": "Enabled",
16
      "Transitions": [
17
        {
18
          "Days": 90,
19
          "StorageClass": "GLACIER"
20
        }
21
      ]
22
    },
23
    {
24
      "ID": "Expire after 365 days",
25
      "Status": "Enabled",
26
      "Expiration": {
27
        "Days": 365
28
      }
29
    },
30
    {
31
      "ID": "Cleanup incomplete uploads",
32
      "Status": "Enabled",
33
      "AbortIncompleteMultipartUpload": {
34
        "DaysAfterInitiation": 7
35
      }
36
    }
37
  ]
38
}

5.2 生命周期管理策略#

数据年龄	存储类别	成本	访问延迟
0–30 天	STANDARD	高	毫秒级
30–90 天	STANDARD_IA	低	毫秒级
90–365 天	GLACIER	极低	分钟–小时级
> 365 天	删除	无	—

六、对象存储 vs 文件系统#

6.1 适用场景对比#

场景	文件系统	对象存储
应用数据目录
用户上传文件
日志归档
数据湖
机器学习数据
数据库存储
配置文件
静态网站

6.2 数据库与对象存储#

Important

数据库不能直接使用对象存储作为主存储，因为对象存储不支持原地修改和随机读写。但数据库的备份、归档、WAL 归档可以存储在对象存储上。云原生数据库（如 Aurora）使用对象存储作为底层存储层，但通过计算节点提供块接口。

七、实战：MinIO 部署#

7.1 MinIO 分布式部署#

1
# MinIO 分布式部署（4 节点）
2
# 每个节点 4 块磁盘
3
export MINIO_ROOT_USER=minioadmin
4
export MINIO_ROOT_PASSWORD=minioadmin
5

6
minio server \
7
    http://node{1...4}/mnt/data{1...4} \
8
    --console-address ":9001"
9

10
# 使用 Docker Compose
11
cat > docker-compose.yml << 'EOF'
12
version: "3.8"
13
services:
14
  minio1:
15
    image: minio/minio:latest
16
    command: server http://minio{1...4}/data{1...4} --console-address ":9001"
17
    environment:
18
      MINIO_ROOT_USER: minioadmin
19
      MINIO_ROOT_PASSWORD: minioadmin
20
    ports:
21
      - "9000:9000"
22
      - "9001:9001"
23
    volumes:
24
      - data1-1:/data1
25
      - data1-2:/data2
26
      - data1-3:/data3
27
      - data1-4:/data4
28
  # ... 其他节点类似
29
EOF

7.2 MinIO 性能测试#

1
# 使用 warp 进行性能测试
2
# 写入测试
3
warp put --host=minio:9000 --access-key=minioadmin \
4
    --secret-key=minioadmin --bucket=bench --duration=60s
5

6
# 读取测试
7
warp get --host=minio:9000 --access-key=minioadmin \
8
    --secret-key=minioadmin --bucket=bench --duration=60s
9

10
# 混合测试
11
warp mixed --host=minio:9000 --access-key=minioadmin \
12
    --secret-key=minioadmin --bucket=bench --duration=60s \
13
    --get=50 --put=20 --delete=30

八、S3 分片上传详解#

8.1 分片上传流程#

大文件上传时，S3 使用分片上传（Multipart Upload）提高可靠性和并发度：

sequenceDiagram participant Client participant S3 as S3/MinIO Client->>S3: 1. Initiate Multipart Upload S3-->>Client: Upload ID par 并发上传分片 Client->>S3: 2a. Upload Part 1 (Upload ID + Part Number + Data) Client->>S3: 2b. Upload Part 2 Client->>S3: 2c. Upload Part 3 end S3-->>Client: 每个分片返回 ETag alt 正常完成 Client->>S3: 3a. Complete Multipart Upload (Upload ID + Part List + ETags) S3-->>Client: 200 OK (合并后的对象) else 取消上传 Client->>S3: 3b. Abort Multipart Upload S3-->>Client: 已删除所有分片 end

1
# S3 分片上传示例
2
import boto3
3

4
s3 = boto3.client('s3')
5
bucket = 'my-bucket'
6
key = 'large-file.tar.gz'
7
file_path = '/data/large-file.tar.gz'
8
part_size = 64 * 1024 * 1024  # 64MB
9

10
# 1. 初始化分片上传
11
response = s3.create_multipart_upload(Bucket=bucket, Key=key)
12
upload_id = response['UploadId']
13

14
# 2. 上传分片
15
parts = []
16
with open(file_path, 'rb') as f:
17
    part_number = 1
18
    while True:
19
        data = f.read(part_size)
20
        if not data:
21
            break
22
        resp = s3.upload_part(
23
            Bucket=bucket, Key=key, UploadId=upload_id,
24
            PartNumber=part_number, Body=data
25
        )
26
        parts.append({'PartNumber': part_number, 'ETag': resp['ETag']})
27
        part_number += 1
28

29
# 3. 完成分片上传
30
s3.complete_multipart_upload(
31
    Bucket=bucket, Key=key, UploadId=upload_id,
32
    MultipartUpload={'Parts': parts}
33
)

8.2 分片大小选择#

文件大小	推荐分片大小	分片数	说明
< 64MB	不使用分片	1	直接 PUT 更简单
64MB–1GB	16–64MB	4–16	平衡并发与开销
1GB–10GB	64–128MB	8–80	并发上传，失败重传代价低
> 10GB	128–256MB	40+	S3 最大分片数 10000，需合理规划

分片大小的选择需要在并发度和重传开销之间权衡：分片太小，请求次数多、元数据开销大；分片太大，单个分片上传失败后重传代价高。实践中 64MB–128MB 是多数场景的最优选择。

九、S3 权限与安全#

9.1 IAM 策略与桶策略#

S3 的权限控制分为三个层级：IAM 策略（用户级别）、桶策略（桶级别）、ACL（对象级别，已不推荐）：

1
// IAM 策略：允许特定用户访问指定桶
2
{
3
  "Version": "2012-10-17",
4
  "Statement": [
5
    {
6
      "Effect": "Allow",
7
      "Action": ["s3:GetObject", "s3:PutObject"],
8
      "Resource": "arn:aws:s3:::my-bucket/*"
9
    },
10
    {
11
      "Effect": "Allow",
12
      "Action": "s3:ListBucket",
13
      "Resource": "arn:aws:s3:::my-bucket"
14
    }
15
  ]
16
}

1
// 桶策略：允许跨账号只读访问
2
{
3
  "Version": "2012-10-17",
4
  "Statement": [
5
    {
6
      "Effect": "Allow",
7
      "Principal": {"AWS": "arn:aws:iam::999999999999:root"},
8
      "Action": ["s3:GetObject"],
9
      "Resource": "arn:aws:s3:::my-bucket/public/*"
10
    }
11
  ]
12
}

9.2 预签名 URL 与服务端加密#

安全机制	说明	适用场景
IAM 策略	用户/角色的权限策略	内部服务访问
桶策略	桶级别的访问控制	跨账号授权、公开访问
预签名 URL	带过期时间的临时访问链接	临时授权第三方上传/下载
SSE-S3	S3 托管密钥加密	默认加密，零运维
SSE-KMS	KMS 托管密钥加密	需要密钥审计和轮换
SSE-C	客户端提供密钥	自管理密钥

Warning

预签名 URL 的过期时间一旦设定无法撤回。如果 URL 泄露，在过期前任何人都可以访问该对象。对于敏感数据，建议使用短过期时间（如 5 分钟），并通过 x-amz-content-sha256 限制请求体。

十、对象存储性能优化#

10.1 前缀设计与热分区避免#

S3 将对象按 Key 前缀分区。如果所有对象的 Key 以相同前缀开头（如 logs/2024/），请求会集中到少数分区，形成热分区。解决方案是在前缀中加入散列前缀：

1
# 热分区避免：前缀散列
2
import hashlib
3

4
def generate_key(original_path):
5
    """生成散列前缀的 Key，避免热分区"""
6
    hash_prefix = hashlib.md5(original_path.encode()).hexdigest()[:4]
7
    return f"{hash_prefix}/{original_path}"
8

9
# 原始: logs/2024/app.log → 所有请求打到同一分区
10
# 优化: a1b2/logs/2024/app.log → 请求分散到 65536 个分区

优化策略	说明	效果
散列前缀	Key 前加 hash 前缀	分散到多个分区
分片并发	大文件使用分片上传并发	提升上传吞吐
连接池	复用 HTTP 连接，减少 TLS 握手	降低延迟
多线程下载	Range GET 并发下载	提升下载吞吐
S3 Transfer Acceleration	利用 CloudFront 边缘节点	跨地域上传加速

Tip

MinIO 和自建对象存储通常不存在 S3 的热分区问题，因为数据分布由本地纠删码决定而非前缀分区。但遵循散列前缀的设计仍然有助于数据均匀分布到各磁盘。

十一、对象存储与数据湖#

11.1 S3 + 数据湖架构#

对象存储是现代数据湖的底层存储。Hive/Glue Catalog 管理元数据，数据文件以 Parquet/ORC 格式存储在 S3 上：

graph TB subgraph 数据湖["数据湖架构"] ENGINE["计算引擎 Spark/Trino/Flink"] --> CATALOG["元数据目录 Hive Metastore/Glue"] CATALOG --> METADATA["元数据 表定义/分区/Schema"] ENGINE --> S3_STORE["S3/MinIO 数据文件"] S3_STORE --> PARQUET["Parquet/ORC 文件"] end style ENGINE fill:#e3f2fd,stroke:#1565c0 style CATALOG fill:#fff9c4,stroke:#f9a825 style S3_STORE fill:#c8e6c9,stroke:#2e7d32

数据湖格式	更新方式	S3 兼容性	适用场景
Delta Lake	Copy-on-Write	好（需避免 S3 一致性问题）	Spark 生态
Apache Iceberg	MoR/CoW	好（原生 S3 支持）	多引擎互操作
Apache Hudi	MoR/CoW	好	增量摄入/流式更新

在Ch13 列式存储中讨论了 Parquet/ORC 的文件格式，这里的数据湖格式在 Parquet/ORC 之上增加了 ACID 事务、Schema 演进和时间旅行能力，使对象存储上的数据分析具备了接近数据库的数据管理能力。

十二、MinIO K8s 部署#

12.1 MinIO Operator#

在 Kubernetes 环境中，MinIO 提供了 Operator 和 Tenant CRD 来管理分布式部署：

1
# MinIO Tenant CRD
2
apiVersion: minio.min.io/v2
3
kind: Tenant
4
metadata:
5
  name: my-minio
6
  namespace: minio-system
7
spec:
8
  image: minio/minio:latest
9
  imagePullPolicy: IfNotPresent
10
  pools:
11
    - name: pool-0
12
      servers: 4
13
      volumesPerServer: 4
14
      volumeClaimTemplate:
15
        metadata:
16
          name: data
17
        spec:
18
          accessModes:
19
            - ReadWriteOnce
20
          resources:
21
            requests:
22
              storage: 1Ti
23
  mountPath: /data
24
  requestAutoCert: true
25
  credsSecret:
26
    name: minio-creds-secret
27
  console:
28
    enabled: true
29
    replicas: 2

Operator 会自动创建 4 个 StatefulSet（每个 pool 一个），每个 Pod 挂载 4 个 PVC，组成 4×4=16 磁盘的纠删码集合。扩容只需在 pools 中添加新的 pool，MinIO 会自动执行数据重平衡。

十三、总结#

主题	核心要点	关键词
对象存储 vs 文件系统	扁平命名空间、HTTP API、不支持原地修改	Key-Object, Bucket
S3 协议	事实标准，2020+ 强一致性	REST API, ETag
MinIO	纠删码保护、S3 兼容、分布式部署	EC, N/2+N/2
分片上传	Initiate → Upload Part → Complete/Abort	Multipart, Part Size
权限与安全	IAM + 桶策略 + 预签名 URL + SSE	Presigned URL, SSE-KMS
性能优化	散列前缀、分片并发、连接池	热分区, Hash Prefix
数据湖	S3 + Catalog + Delta/Iceberg/Hudi	ACID on S3
MinIO K8s	Operator + Tenant CRD 自动化部署	StatefulSet, Pool
多地域复制	跨地域数据冗余，异步复制	站点复制
生命周期	自动分层存储，过期删除	Transition, Expiration