Release notes
ЗАКРОМА.Хранение v 2.9
В релизе ЗАКРОМА.Хранение 2.9 основной акцент сделан на упрощении перехода с внешних S3-хранилищ на Закрома, расширении возможностей управления пользователями, добавлении лимитов (QoS), а также унификации доступа к S3 API для разных стилей адресации.
🚀 Новый функционал
Бесшовная миграция данных с внешних S3-хранилищ
Реализован режим миграции с поддержкой проксирования запросов к старому хранилищу для бесшовной миграции. Позволяет перевести клиентов с другого S3-хранилища (например, MinIO) на ЗАКРОМА с минимальным простоем (лишь на время переключения клиентов на другой S3-endpoint - 10-15 минут).
При включении миграции бакет блокируется на изменение конфигурации (группы хранения, политики), но операции с данными не прерываются.
Подробнее смотрите Бесшовная миграция с внешнего S3.
Единый endpoint ps/vs style
Упрощена настройка доступа к S3 API: path-style и virtual-hosted-style теперь доступны через единый адрес <workspace>.<FQDN>. Ранее нужно было использовать разные endpoint для разных стилей.
Изменение адреса глобального namespaceАдрес глобального namespace изменён с
gs.<FQDN>наglobal.<FQDN>. При обновлении с версии 2.8 необходимо обновить DNS-записи и настройки клиентских приложений. Для обратной совместимости старые адреса<workspace>.ps.<FQDN>и<workspace>.vs.<FQDN>можно добавить как дополнительные домены.
Подробнее смотрите Настройка виртуального хостинга
Локальные пользователи рабочей области
Администраторы рабочей области (роли Workspace-owner и Workspace-editor) теперь могут создавать локальных пользователей S3 API — аналогично созданию локальных групп. Локальные пользователи работают только с S3 API и не затрагиваются синхронизацией Keycloak.
Подробнее смотрите Локальные пользователи рабочей области.
Интеграция с Blitz по протоколу OIDC
Реализована интеграция с внешней системой идентификации Blitz по протоколу OIDC. Изменена конфигурация метода авторизации.
Подробнее смотрите Авторизация.
Управление лимитами (QoS) пропускной способности
Реализовано управление пропускной способностью S3 API на трёх уровнях: рабочая область (тенант), бакет, пользователь. Доступны следующие параметры:
- лимит скорости скачивания,
- лимит скорости загрузки,
- максимальный размер данных,
- лимит RPS (количество запросов в секунду).
При превышении лимитов запросы не отклоняются — они переводятся в режим ожидания.
Подробнее смотрите QoS — управление пропускной способностью S3 API.
✨ Улучшения
Оптимизация сканирования исторических хранилищ
Расчёт контрольных сумм (etag) теперь выполняется непосредственно на стороне целевых хранилищ (ZDS/S3). Сканирование использует только листинг объектов без передачи содержимого файлов на сервер Закрома.Хранение. Это значительно сокращает время сканирования и нагрузку на сеть при работе с хранилищами большого объёма.
Поддержка вложенных групп Keycloak
При использовании стратегии синхронизации sync_strategy: groups реализован рекурсивный обход вложенных групп Keycloak. Клиенты могут объединять пользователей из нескольких независимых доменов или разных LDAP-групп в единый список синхронизации.
ОграничениеПоддерживается не более 100 вложенных групп на корневом уровне иерархии.
Подробнее смотрите Авторизация.
ZCLI: управление S3 credentials другого пользователя
В утилиту командной строки zcli добавлен функционал создания и генерации ключей доступа S3 для других пользователей. Операция доступна администратору или пользователю с пермиссией users.
Подробнее смотрите Командная строка (zcli).
Бесшовное обновление
С версии 2.9 становится возможным полноценное бесшовное обновление (без простоя сервиса). Это стало возможным благодаря новой библиотеки миграций изменений базы данных и улучшениям Ansible-ролей установки, которые позволяют обновлять узлы кластера поочерёдно, не останавливая сервис целиком.
🐞 Исправления
- Исправлена работа параметра
skipCertificateVerificationпри создании хранилища. - Исправлена ошибка
403 SignatureDoesNotMatchпри подключении через s3fs.
Перед обновлением на 2.9Перед обновлением ознакомьтесь с инструкцией.