MinIO 离岸 VPS - S3 兼容对象存储

AWS S3、Cloudflare R2、Backblaze B2 虽然简单易用，但所有访问日志、桶元数据、API 调用都会保存在云厂商的内部系统中，对加密资产托管、记者档案、隐私工具开发者并不友好。MinIO 自托管在离岸 VPS 上，意味着你完全控制 API 凭据、桶策略、加密密钥与日志保留。Anubiz Host 提供独立 IPv4 与高带宽出口，让客户端可通过 S3 SDK 无缝替换原有云存储，并通过 WireGuard 实现内部访问。

单节点 MinIO 适合开发或备份场景，使用 2 vCPU、4 GB 内存与 500 GB NVMe 即可上线；生产场景建议至少 4 节点的 EC 集群，每节点 8 vCPU、16 GB 内存与 1 TB NVMe，启用 erasure coding 提升数据耐久性。如果业务横跨多个国家，可在冰岛与罗马尼亚节点之间启用 site replication，把关键桶双向同步。所有节点之间的通信使用 WireGuard 加密私网，公网仅暴露 443 端口，并通过 Traefik 或 Caddy 加 ACME 自动证书。

MinIO 支持 SSE-S3、SSE-KMS 与客户端加密；强烈建议将 KMS 接入到自托管 Vault，由 Vault 管理加密密钥并设置周期性轮换。访问凭据使用 STS 短期令牌发放，避免长期密钥分散到 CI、客户端代码中。备份方面，使用 mc mirror 把关键桶推送到第二个离岸节点，并配合 borg 或 restic 加密快照。监控可借助 Prometheus 与 Loki 接收 MinIO 指标与日志，并通过自托管 Grafana 仪表盘统一查看 IO、延迟、错误率，从而保证对象存储在高负载下依然稳定。