Instalación de MinIO Object Storage

¿Qué configuramos y por qué?

Configuraremos MinIO, un servidor de almacenamiento de objetos distribuido y de alto rendimiento, escrito en Go. Está diseñado para proporcionar una API compatible con S3, lo que lo convierte en un reemplazo o complemento ideal para servicios en la nube como Amazon S3, DigitalOcean Spaces o Google Cloud Storage. MinIO permite implementar su propio almacenamiento de objetos en cualquier hardware, desde un solo servidor hasta un clúster de decenas de nodos, garantizando alta disponibilidad y escalabilidad.

¿Qué obtendrá el lector al final? Tendrá control total sobre sus datos, independencia de proveedores externos y la capacidad de utilizar la familiar API de S3 para sus aplicaciones. Esto es especialmente valioso para los desarrolladores que necesitan almacenar grandes volúmenes de datos no estructurados (imágenes, videos, documentos, registros, copias de seguridad) e integrarlos con sus servicios, ya sean aplicaciones web, microservicios o plataformas analíticas. MinIO es excelente para crear una nube privada para el almacenamiento de datos, alojar sitios estáticos, almacenar archivos multimedia para CDN o incluso como backend para pipelines de CI/CD.

¿Qué alternativas existen y por qué autoalojado en un VPS? En el mercado existen numerosas soluciones de almacenamiento de objetos en la nube, como Amazon S3, Google Cloud Storage, Azure Blob Storage, DigitalOcean Spaces, Backblaze B2. Estos servicios ofrecen alta fiabilidad, escalabilidad y a menudo tienen un bajo coste de entrada. Sin embargo, también tienen sus desventajas: dependencia de un único proveedor, posibles problemas de privacidad de datos (especialmente para información sensible), costes impredecibles con grandes volúmenes de tráfico y almacenamiento, y la imposibilidad de tener un control total sobre la infraestructura.

La implementación de MinIO en su propio VPS o servidor dedicado le proporciona:

• Control total: Usted gestiona los datos, la seguridad y la configuración.
• Costes predecibles: Paga un precio fijo por el servidor, independientemente del volumen de datos almacenados o del tráfico (dentro de los límites del servidor).
• Privacidad de los datos: Sus datos permanecen en su servidor, bajo su control.
• Rendimiento: Posibilidad de optimizar MinIO para sus tareas específicas y utilizar los recursos del servidor de la manera más eficiente posible.
• Flexibilidad: Posibilidad de integración con servicios locales sin demoras ni costes adicionales por tráfico saliente.

¿Qué configuración de VPS se necesita para esta tarea?

La elección de una configuración de VPS adecuada para MinIO depende de la carga prevista, el volumen de datos almacenados y los requisitos de rendimiento. MinIO utiliza eficazmente los recursos disponibles, pero el almacenamiento de objetos, especialmente con un uso intensivo, puede ser exigente en ciertos parámetros.

Requisitos mínimos:

• Procesador (CPU): 1-2 núcleos. MinIO no es muy intensivo en CPU para operaciones básicas, pero las solicitudes multiproceso se benefician de más núcleos. Para cargas pequeñas, 1 núcleo es suficiente; para un uso más activo, 2 núcleos.
• Memoria RAM: 2 GB. MinIO utiliza RAM para el almacenamiento en caché de metadatos y la búferización de datos. 2 GB es el mínimo cómodo para un funcionamiento estable. Si se planean muchos objetos pequeños o una alta carga concurrente, 4 GB serán preferibles.
• Disco: El componente más crítico.
  • Tipo: Para el almacenamiento de objetos, el rendimiento del disco es extremadamente importante. NVMe SSD o SATA SSD de alto rendimiento son obligatorios para una buena velocidad de lectura/escritura. Los HDD solo son adecuados para almacenamiento de archivo con baja frecuencia de acceso.
  • Volumen: Mínimo 50 GB para el sistema y los datos iniciales. El volumen real depende de sus necesidades. Asegúrese de tener suficiente espacio para crecer.
  • Tolerancia a fallos: Si utiliza un solo disco, considere las copias de seguridad regulares. Para configuraciones multidisco, MinIO admite la codificación de borrado (erasure coding), pero en un solo VPS esto generalmente no es relevante, a menos que utilice almacenamiento en bloque proporcionado por el proveedor.
• Red: 1 Gbit/s. Un buen ancho de banda de red es importante, ya que MinIO transferirá datos activamente. Para la mayoría de los VPS, 1 Gbit/s es el estándar. Asegúrese de que su proveedor no tenga restricciones ocultas o costes excesivos por el tráfico saliente.

Plan de VPS específico para la tarea:

Para ejecutar MinIO para un equipo de desarrolladores, un pequeño proyecto SaaS o copias de seguridad personales, se recomienda la siguiente configuración:

• CPU: 2 núcleos
• RAM: 4 GB
• Disco: 200-500 GB NVMe SSD (o más, según las necesidades)
• Red: 1 Gbit/s, límite de tráfico ilimitado o generoso.

Puede adquirir un VPS con las características indicadas o un plan similar de otro proveedor que ofrezca NVMe SSD y suficiente memoria.

Cuándo se necesita un dedicado, no un VPS:

Un servidor dedicado se vuelve necesario cuando:

• Se requiere un rendimiento de E/S extremo: Para volúmenes de datos muy grandes, alta frecuencia de acceso o cargas de trabajo específicas donde el rendimiento del subsistema de disco de un VPS puede convertirse en un cuello de botella debido al uso compartido de recursos.
• Se necesitan grandes volúmenes de almacenamiento: Si necesita varios terabytes o petabytes de datos, un servidor dedicado con varios discos (por ejemplo, en un array RAID) será una solución más económica y de mayor rendimiento.
• Alta disponibilidad y tolerancia a fallos: Para implementaciones de clúster de MinIO con codificación de borrado (erasure coding), que requieren varios nodos físicos para distribuir datos y garantizar la tolerancia a fallos a nivel de disco y servidor.
• Requisitos específicos de seguridad o cumplimiento: Algunas normativas pueden exigir el aislamiento físico del hardware.

Ubicación: en qué influye

La elección de la ubicación del servidor MinIO es importante por varias razones:

• Latencia: Cuanto más cerca esté el servidor de su público objetivo o de los servidores de aplicaciones que utilizarán MinIO, menor será la latencia al acceder a los datos. Esto es crítico para aplicaciones interactivas.
• Legislación: La ubicación del servidor puede afectar la legislación aplicable sobre protección de datos (por ejemplo, GDPR en Europa).
• Coste del tráfico: Algunos proveedores pueden tener diferentes tarifas para el tráfico saliente según la región.

Elija la ubicación que esté geográficamente más cerca de los principales consumidores de datos de MinIO.

Preparación del servidor

Antes de instalar MinIO, es necesario realizar una configuración básica del sistema operativo. Se asume que está utilizando una instalación limpia de Ubuntu Server 24.04 LTS.

1. Conexión por SSH y actualización del sistema

Primero, conéctese a su VPS por SSH, utilizando las credenciales proporcionadas por el proveedor. Normalmente, es el usuario root o un usuario estándar con permisos sudo.

ssh user@your_vps_ip_address

Luego, actualice la lista de paquetes y los paquetes instalados a las últimas versiones:

sudo apt update && sudo apt upgrade -y

Esto asegurará que tenga todos los parches de seguridad actuales y las últimas versiones de las utilidades del sistema.

2. Creación de un nuevo usuario con permisos sudo (si no usa root)

Trabajar como usuario root no se recomienda para tareas diarias. Cree un nuevo usuario y concédale permisos sudo.

sudo adduser minioadmin
sudo usermod -aG sudo minioadmin

Ahora puede cerrar la sesión actual e iniciar sesión con el nuevo usuario:

exit
ssh minioadmin@your_vps_ip_address

3. Configuración de claves SSH para un acceso seguro

El uso de claves SSH es mucho más seguro que las contraseñas. Si aún no ha generado claves, hágalo en su máquina local:

ssh-keygen -t rsa -b 4096

Luego, copie la clave pública a su VPS (reemplace minioadmin y your_vps_ip_address):

ssh-copy-id minioadmin@your_vps_ip_address

Después de copiar la clave con éxito, se recomienda deshabilitar la autenticación por contraseña para root y su nuevo usuario para aumentar la seguridad. Edite el archivo /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Encuentre y modifique las siguientes líneas:

# Deshabilitar el inicio de sesión para root con contraseña
PermitRootLogin prohibit-password
# Deshabilitar la autenticación por contraseña para todos
PasswordAuthentication no

Guarde los cambios (Ctrl+O, Enter, Ctrl+X) y reinicie el servicio SSH:

sudo systemctl restart sshd

Importante: ¡Asegúrese de poder iniciar sesión por SSH con la clave antes de deshabilitar la autenticación por contraseña! De lo contrario, perderá el acceso al servidor.

4. Configuración del firewall (UFW)

El firewall es necesario para restringir el acceso a su servidor solo a los puertos necesarios. Ubuntu utiliza UFW (Uncomplicated Firewall).

sudo apt install ufw -y # Instalamos UFW, si no está presente
sudo ufw allow OpenSSH # Permitimos SSH (puerto 22)
sudo ufw allow 80/tcp # Permitimos HTTP (para Caddy)
sudo ufw allow 443/tcp # Permitimos HTTPS (para Caddy)
sudo ufw enable # Habilitamos el firewall
sudo ufw status # Verificamos el estado

En esta etapa, MinIO aún no está instalado, por lo que su puerto (por defecto 9000) no se abre todavía.

5. Instalación de Fail2ban

Fail2ban ayuda a proteger el servidor contra ataques de fuerza bruta bloqueando las direcciones IP que realizan demasiados intentos de inicio de sesión fallidos.

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Fail2ban está configurado por defecto para proteger SSH. Puede verificar su estado:

sudo fail2ban-client status
sudo fail2ban-client status sshd

Ahora su servidor está listo para la instalación de MinIO y el software relacionado.

Instalación de software — paso a paso

En esta etapa, instalaremos MinIO y Caddy, que se utilizará para proporcionar acceso HTTPS a MinIO.

1. Instalación del servidor MinIO

Instalaremos MinIO descargando el binario oficial y configurándolo como un servicio del sistema. Para mantenerlo actualizado en 2026, utilizaremos las últimas versiones estables.

1.1. Creación de usuario y grupos para MinIO

Para mejorar la seguridad, MinIO se ejecutará bajo su propio usuario no privilegiado.

sudo groupadd -r minio-user # Creamos un grupo para MinIO
sudo useradd -r -s /sbin/nologin -g minio-user minio-user # Creamos un usuario sin shell

1.2. Creación de directorios para MinIO

Crearemos un directorio para almacenar el binario de MinIO, los datos y la configuración.

sudo mkdir -p /usr/local/bin
sudo mkdir -p /etc/minio
sudo mkdir -p /var/lib/minio

1.3. Descarga del binario de MinIO

Descargaremos la última versión estable de MinIO. Las versiones actuales siempre se pueden encontrar en el sitio web oficial de MinIO o en GitHub. Para el año 2026, asumiremos que la versión actual de MinIO tiene el formato RELEASE.2026-XX-XXTXX-XX-XXZ. Usaremos mc (MinIO Client) para administrar MinIO.

# Descarga del servidor MinIO
wget -O /usr/local/bin/minio https://dl.min.io/server/minio/release/linux-amd64/minio # Descargamos el binario de MinIO
# Descarga del cliente MinIO (mc)
wget -O /usr/local/bin/mc https://dl.min.io/client/mc/release/linux-amd64/mc # Descargamos el binario del cliente MinIO

1.4. Concesión de permisos de ejecución

Haremos que los archivos descargados sean ejecutables.

sudo chmod +x /usr/local/bin/minio # Hacemos MinIO ejecutable
sudo chmod +x /usr/local/bin/mc # Hacemos MinIO Client ejecutable

1.5. Configuración de permisos de acceso para el directorio de datos

Estableceremos el propietario del directorio de datos de MinIO al usuario creado minio-user.

sudo chown minio-user:minio-user /var/lib/minio # Cambiamos el propietario del directorio de datos

2. Instalación del servidor web Caddy

Caddy se utilizará como proxy inverso para MinIO y gestionará automáticamente los certificados SSL de Let's Encrypt. Esto simplifica significativamente la configuración de HTTPS.

2.1. Adición del repositorio de Caddy

Para obtener la última versión estable de Caddy, añadiremos su repositorio oficial.

sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https # Instalamos los paquetes necesarios
curl -1s https://dl.cloudsmith.io/public/caddy/stable/gpg.key | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg # Añadimos la clave GPG
curl -1s https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt | sudo tee /etc/apt/sources.list.d/caddy-stable.list # Añadimos el repositorio

2.2. Instalación de Caddy

Actualizaremos la lista de paquetes e instalaremos Caddy.

sudo apt update # Actualizamos la lista de paquetes
sudo apt install caddy -y # Instalamos Caddy

Caddy se instalará como un servicio del sistema y se iniciará automáticamente. Puede verificar su estado:

sudo systemctl status caddy

3. Apertura del puerto de MinIO en el firewall (UFW)

Ahora que MinIO estará en funcionamiento, necesitamos abrir el puerto en el que escuchará (por defecto 9000). Caddy actuará como proxy para las solicitudes a este puerto.

sudo ufw allow 9000/tcp # Permitimos el acceso al puerto de MinIO
sudo ufw status # Verificamos el estado de UFW

En esta etapa, todo el software necesario está instalado. Pasamos a la configuración.

Configuración

Ahora que MinIO y Caddy están instalados, es necesario configurarlos para que trabajen juntos y proporcionen acceso seguro a través de HTTPS.

1. Configuración de las variables de entorno de MinIO

MinIO utiliza variables de entorno para su configuración, incluyendo las claves de acceso. Crearemos el archivo /etc/minio/minio.conf para almacenar estas variables.

Importante: Reemplace YOUR_MINIO_ACCESS_KEY y YOUR_MINIO_SECRET_KEY por valores seguros, largos y complejos. ¡Estas claves se utilizarán para acceder a su almacenamiento!

sudo nano /etc/minio/minio.conf

Agregue el siguiente contenido:

# MinIO Server Configuration
MINIO_ROOT_USER="YOUR_MINIO_ACCESS_KEY"
MINIO_ROOT_PASSWORD="YOUR_MINIO_SECRET_KEY"
MINIO_VOLUMES="/var/lib/minio" # Directorio para almacenar los datos de MinIO
MINIO_SERVER_URL="https://minio.your-domain.com" # URL a través de la cual MinIO será accesible mediante Caddy

Guarde el archivo (Ctrl+O, Enter, Ctrl+X).

Asegúrese de que este archivo sea de solo lectura para el usuario minio-user:

sudo chown root:minio-user /etc/minio/minio.conf
sudo chmod 640 /etc/minio/minio.conf

2. Creación del servicio Systemd para MinIO

Crearemos un servicio del sistema para que MinIO se inicie automáticamente al arrancar el servidor y sea gestionado a través de systemctl.

sudo nano /etc/systemd/system/minio.service

Agregue el siguiente contenido:

[Unit]
Description=MinIO S3 Compatible Object Storage
Documentation=https://min.io/docs/minio/linux/index.html
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/local/bin/minio server $MINIO_VOLUMES --console-address ":9001"
EnvironmentFile=/etc/minio/minio.conf # Cargamos las variables de entorno de nuestro archivo
User=minio-user
Group=minio-user
ProtectSystem=full
AmbientCapabilities=CAP_NET_BIND_SERVICE
NoNewPrivileges=true
Restart=always
RestartSec=5s

[Install]
WantedBy=multi-user.target

Guarde el archivo (Ctrl+O, Enter, Ctrl+X).

Ahora, recargue systemd, habilite e inicie el servicio MinIO:

sudo systemctl daemon-reload # Recargamos systemd
sudo systemctl enable minio # Habilitamos el inicio automático de MinIO al arrancar el sistema
sudo systemctl start minio # Iniciamos MinIO
sudo systemctl status minio # Verificamos el estado de MinIO

MinIO debería estar en ejecución y escuchando en el puerto 9000 (API) y 9001 (consola). Asegúrese de que no haya errores en la salida de systemctl status minio.

3. Configuración de Caddyfile para proxy inverso y SSL

Caddy actuará como proxy para las solicitudes de su nombre de dominio hacia el MinIO local, obteniendo y renovando automáticamente los certificados SSL.

Importante: Asegúrese de que su dominio (por ejemplo, minio.your-domain.com) apunte a la dirección IP de su VPS en el DNS mediante un registro A.

sudo nano /etc/caddy/Caddyfile

Reemplace el contenido existente por lo siguiente (sustituya minio.your-domain.com por su dominio real):

minio.your-domain.com {
    reverse_proxy localhost:9000 # Proxy para la API de MinIO
    # Para la consola de MinIO (opcional, si se necesita la consola web a través del mismo dominio)
    # reverse_proxy /minio-console/ localhost:9001
    # Si desea que toda la consola esté disponible en un subdominio separado,
    # o simplemente a través de otro puerto, es mejor configurarlo por separado.
    # Para simplificar, solo hacemos proxy de la API de MinIO en el puerto 9000.
    # La consola de MinIO está disponible por defecto en el puerto 9001.
    # Si desea hacer proxy de ella a través del mismo dominio, entonces
    # minio.your-domain.com {
    #     handle /minio-console/ {
    #         reverse_proxy localhost:9001
    #     }
    #     handle / {
    #         reverse_proxy localhost:9000
    #     }
    # }
    # Para mayor simplicidad y seguridad, la consola puede dejarse accesible solo localmente o mediante un túnel SSH
    # o en un dominio separado. Aquí solo hacemos proxy de la API.

    # Agregamos los encabezados necesarios para MinIO
    header Access-Control-Allow-Origin ""
    header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
    header Access-Control-Allow-Headers "Accept, Authorization, Content-Type, Content-Length, X-Amz-Date, X-Amz-User-Agent, X-Amz-Content-Sha256, X-Amz-SignedHeaders, X-Amz-Signature, X-Minio-Deployment-ID, X-Minio-Identity-Tag, X-Minio-Release"
    header X-Minio-Deployment-ID "MINIO_DEPLOYMENT_ID"
    header X-Minio-Identity-Tag "MINIO_IDENTITY_TAG"
    header X-Minio-Release "MINIO_RELEASE"
}

sudo systemctl reload caddy # Recargamos Caddy
sudo systemctl status caddy # Verificamos el estado de Caddy

curl -I https://minio.your-domain.com/minio/health/live

HTTP/2 200
server: Caddy
content-length: 0
date: Mon, 01 Jan 2026 12:00:00 GMT

mc alias set myminio https://minio.your-domain.com YOUR_MINIO_ACCESS_KEY YOUR_MINIO_SECRET_KEY --api S3v4

mc mb myminio/myfirstbucket # Creamos un nuevo bucket
echo "Hello MinIO" > testfile.txt
mc cp testfile.txt myminio/myfirstbucket/ # Subimos un archivo
mc ls myminio/myfirstbucket # Verificamos el contenido del bucket