Российский разработчик выпустил self-hosted платформу, которая объединяет S3-хранилище, корпоративный доступ и файловый сервис под одной крышей
Небольшие и средние компании годами собирают одну и ту же конструкцию из костылей: S3-совместимое хранилище для приложений, сетевые шары для людей, отдельный LDAP, бэкапы в третьем контуре и мониторинг в четвёртом. Всё держится до первого внутреннего аудита - или до нового филиала с запросом «корпоративный диск с SSO, журналом и данными только у нас». Именно под этот сценарий создан DataSafeS3.
Один продукт вместо четырёх
DataSafeS3 - open-source платформа, которая сводит объектное хранилище, веб-консоль, управление идентичностью и аудит в единую self-hosted установку. Автор проекта позиционирует его не как замену AWS и не как «новый Dropbox», а как инструмент для ИТ-отдела компании на 50-500 человек, которому нужен один контур вместо зоопарка. Аналогично тому, как в профессиональном спорте важна не россыпь звёзд, а слаженная система - вспомним, как, например, пафос фк строил командную игру поступательно, по кирпичику - здесь ценность в архитектурной цельности, а не в наборе отдельных инструментов. пафос фк
Внутри одной установки живут: S3-эндпоинт с поддержкой multipart, versioning, Object Lock и STS AssumeRole; веб-консоль с браузером объектов и шарингом папок; LDAP и OIDC/SSO с MFA через TOTP и WebAuthn; тенанты с квотами и делегированием прав; журнал аудита с выгрузкой в Loki, Elasticsearch и webhook; мониторинг через Prometheus с готовым дашбордом в Grafana; асинхронная репликация на внешний S3 для off-site копии.
Что реально работает - и где края
Автор намеренно отказался от маркетинговых обещаний. Вот что уже есть в коде и проверено на тестовых стендах:
- При первом входе пользователю автоматически создаётся личный бакет - «Мои файлы» в браузере, без доступа в «страшную» админку object store
- Шаринг работает не только на уровне бакета, но и на уровне отдельной папки (prefix grant) с in-app уведомлениями
- Для DevOps - стандартный S3-эндпоинт, к которому подключаются Velero, restic, CI-пайплайны без написания своего API
- Образы публикуются на GHCR с SBOM и подписью cosign, в CI прогоняются 93+ автоматических проверки
- Описан reference-деплой на две ноды: Postgres streaming replication, read-only standby, скрипты failover
Границы честно очерчены: петабайтные кластеры - не сюда, полного паритета с AWS S3 API нет, мобильного клиента пока нет. Проект молодой: звёзд на GitHub мало, сообщество только формируется. Но Apache-2.0 без платных gate на фичи - уже аргумент для тех, кого раздражает «шаринг только в Enterprise».
Быстро попробовать
Запуск - одной командой через Docker Compose. После старта открывается веб-консоль на localhost:8080, логин через встроенного админа или собственный LDAP. Helm-чарт и бинарники тоже есть. Репозиторий открыт, issues и PR приветствуются - это не коробочный SaaS, а живой проект, который ищет реальные нагрузки и обратную связь.