OSS提供多样化的网络访问方案,涵盖域名配置、性能优化、安全防护和专用接入等能力,帮助构建高效、稳定、安全的存储访问架构。
快速选择
分类 | 场景 | 推荐方案 |
基础访问 | 查询各地域的Endpoint和内网VIP网段 | |
外网、内网、传输加速等域名类型的格式和用法 | ||
实现文件在线预览、统一品牌标识 | ||
性能优化 | 静态资源(图片、音视频、文档)全球分发加速 | |
跨地域远距离数据上传和下载加速 | ||
安全防护 | 自定义域名启用HTTPS加密传输 | |
VPC与OSS之间建立安全隔离的私有连接 | ||
防止资源被其他网站盗用导致流量费用激增 | ||
专用接入 | 通过固定IP地址访问OSS | |
多应用或多团队差异化权限访问同一Bucket | ||
Web应用 | 将Bucket中的静态文件发布为网站 | |
解决浏览器加载OSS资源时的跨域拦截 |
域名类型
OSS根据网络环境和性能需求提供不同类型的访问域名,各域名类型的格式、使用示例和切换方式请参见通过Endpoint和Bucket域名访问OSS,各地域对应的Endpoint请参见地域和Endpoint。
域名类型 | 适用场景 | 费用特点 | 是否需要开通 |
外网访问域名 | Web应用、移动客户端等公网访问 | 按外网流出流量计费 | 默认可用 |
内网访问域名 | 阿里云内网访问(如ECS访问OSS) | 内网流量免费 | 默认可用 |
传输加速域名 | 跨地域、跨国际高速上传/下载 | 除了外网流出流量费用,额外收取传输加速费用 | 需开启传输加速功能 |
双栈域名 | IPv6网络环境访问OSS | 按外网流出流量计费 | 部分地域支持 |
CNAME域名 | 自定义域名绑定时用于DNS解析配置 | 按外网流出流量计费 |
通过OSS Bucket域名访问HTML、图片等文件时,浏览器会强制下载而非在线预览。如需实现文件预览功能,请通过自定义域名访问OSS。自定义域名支持绑定至外网访问域名、传输加速域名、接入点域名或对象FC接入点域名。若Bucket位于中国内地,绑定的域名必须完成ICP备案。
性能优化
CDN加速和传输加速分别针对不同场景提供加速能力,可根据业务需求单独使用或组合使用:
维度 | CDN加速 | 传输加速 |
加速原理 | 将静态资源缓存到全球边缘节点,就近响应用户请求 | 利用阿里云骨干网智能路由,优化数据传输路径 |
适用场景 | 静态资源高频读取(图片、音视频、文档下载) | 跨地域、跨国际远距离数据上传和下载 |
对上传的支持 | 不建议通过CDN上传 | 支持加速上传 |
费用 | 外网流出流量费用 + 传输加速费用 | |
组合使用 | 将CDN回源配置到传输加速域名,构建“CDN边缘缓存 + 骨干网加速”的双重加速架构 | |
安全防护
HTTPS
OSS的Bucket域名默认支持HTTPS访问,无需额外配置。通过自定义域名访问时,需要为该域名配置SSL证书:未开启CDN时在OSS控制台为Bucket绑定的自定义域名配置证书托管,已开启CDN时在CDN控制台为CDN加速域名配置HTTPS证书。生产环境建议通过Bucket Policy强制HTTPS访问,拒绝所有HTTP请求。阿里云SSL证书支持开启证书托管实现自动续期。详情请参见通过HTTPS协议访问OSS。
PrivateLink私网连接
PrivateLink在VPC内部创建指向OSS的专属私有终端节点,访问流量全程在阿里云骨干网络内传输,不经过公网。相比OSS默认的内网访问域名,PrivateLink提供更高级别的安全隔离:
能力 | 内网访问域名 | PrivateLink |
攻击面 | 公共服务入口,暴露给所有VPC | 入口在VPC内部,其他VPC无法发现和访问 |
网络层控制 | 无法通过安全组控制 | 支持绑定安全组,精确控制源IP访问 |
审计能力 | 仅记录成功请求 | 支持VPC流日志,审计所有连接尝试 |
IP规划 | 占用100.64.0.0/10网段,可能与本地IDC冲突 | 使用VPC网段内IP,遵循自定义IP规划 |
支持通过SSL-VPN或高速通道专线将本地设备/数据中心接入VPC,再通过PrivateLink访问OSS。详情请参见通过PrivateLink私网访问OSS。
防盗链
当OSS资源被其他网站盗链导致流量费用激增时,可通过配置Referer黑白名单限制资源的访问来源。OSS按照的优先级顺序执行访问控制。防盗链仅对匿名访问和签名URL访问生效,使用AccessKey签名的API调用不受限制。若OSS配置了CDN加速,需在CDN层面同步配置防盗链规则,否则盗链请求可能命中CDN缓存绕过验证。详情请参见防盗链。
专用接入
ECS反向代理
OSS通过DNS解析提供的IP地址是动态变化的,在需要配置防火墙白名单或进行特定系统集成时,可能导致访问受限。可在绑定固定公网IP的ECS实例上部署Nginx反向代理,将请求转发至OSS,实现通过固定IP访问OSS资源。生产环境建议采用“负载均衡 + 多可用区ECS实例组”的高可用架构。详情请参见通过ECS反向代理访问OSS。
接入点
接入点(Access Point)为Bucket提供独立的访问入口。当一个Bucket需要被多个应用或团队以不同权限访问时,可为每个访问方创建独立的接入点,通过接入点策略(AP Policy)分别管理各自的权限,避免在单一Bucket Policy中维护复杂的权限规则。每个接入点拥有独立的别名、访问策略和网络来源配置(互联网或指定VPC),支持与RAM Policy、Bucket Policy形成三层策略联合鉴权。详情请参见接入点。
Web应用
静态网站托管
OSS支持将Bucket中的静态文件(HTML、CSS、JavaScript等)直接发布为公开访问的网站,无需维护服务器。支持配置默认首页、子目录首页和自定义404错误页,同时支持SPA单页应用的路由托管(将404页设为index.html、错误响应码设为200)。详情请参见静态网站托管。
使用OSS Bucket域名访问HTML文件时浏览器会强制下载,需绑定自定义域名才能实现网页正常浏览。
跨域设置
当网站加载OSS资源时浏览器报blocked by CORS policy错误,是因为浏览器的同源策略限制了跨域资源访问。通过为Bucket配置CORS规则(来源、允许 Methods、允许 Headers等),可授权指定网站跨域访问OSS资源。使用多个来源或通配符时需开启返回 Vary: Origin避免缓存污染;若Bucket开启了CDN加速,需在CDN控制台配置跨域规则或透传OSS的CORS响应头。详情请参见跨域设置。
常见问题
如何使用不带签名的长期有效的URL访问OSS文件?
有以下两种方式:
通过CDN加速访问OSS:保持文件权限为私有,开启CDN的私有Bucket回源功能提供公共读访问。CDN提供更好的访问性能和缓存能力,需在CDN层面配置防盗链规则防止资源被盗用。
上传或下载文件时速度很慢,怎么办?
OSS传输速度主要受客户端网络带宽、链路质量和传输策略影响,可从以下方面排查和优化:
访问时出现网络错误(如解析失败、连接超时)如何排查?
如请求已到达OSS(响应中含Request ID),获取Request ID后使用OSS自助诊断工具检测即可。
如请求未到达OSS(Request ID为空),按错误类型排查:
错误类型 | 常见原因 | 处理方式 |
Connection refused | 端口不通,或跨地域使用了内网Endpoint | 改用正确的外网Endpoint,通过 |
ConnectionTimeOut | 网络环境不佳或超时设置过短 | 增大SDK连接超时和读取超时,开启失败重传机制;大文件使用分片上传和断点续传上传提升稳定性;考虑使用CDN加速或传输加速 |
Socket timeout / closed | 连接超时或被异常关闭 | 增大SDK中Socket超时配置(如Java SDK的 |
Connection reset | Endpoint配置错误、Bucket被安全限制等 | 依次排查:1. |