OSS menyediakan berbagai solusi akses jaringan yang mencakup konfigurasi domain, optimasi kinerja, perlindungan keamanan, dan akses khusus. Gunakan kemampuan ini untuk membangun arsitektur akses penyimpanan yang efisien, stabil, dan aman.
Pemilihan cepat
Kategori | Skenario | Solusi yang direkomendasikan |
Akses dasar | Kueri titik akhir dan blok CIDR VIP internal untuk semua wilayah | |
Format dan penggunaan jenis domain seperti titik akhir publik, titik akhir internal, dan titik akhir percepatan | ||
Aktifkan pratinjau file online dan satukan identitas merek | ||
Optimasi kinerja | Distribusi global dan akselerasi sumber daya statis seperti gambar, file audio dan video, serta dokumen | |
Akselerasi unggah dan unduh lintas wilayah serta lintas batas | ||
Perlindungan keamanan | Aktifkan transmisi terenkripsi HTTPS untuk nama domain kustom | |
Buat koneksi pribadi yang aman dan terisolasi antara VPC Anda dan OSS | ||
Cegah penggunaan sumber daya tanpa izin oleh website lain yang dapat menyebabkan lonjakan biaya traffic | ||
Akses khusus | Akses OSS menggunakan alamat IP tetap | |
Berikan izin berbeda kepada beberapa aplikasi atau tim yang mengakses bucket yang sama | ||
Aplikasi web | Host file statis dari bucket sebagai website | |
Atasi pemblokiran lintas domain saat browser memuat sumber daya OSS |
Jenis domain
OSS menyediakan berbagai jenis domain akses berdasarkan lingkungan jaringan dan kebutuhan kinerja. Untuk format, contoh penggunaan, dan metode peralihan setiap jenis domain, lihat Akses OSS menggunakan titik akhir dan nama domain bucket. Untuk titik akhir di setiap wilayah, lihat Wilayah dan titik akhir.
Karena adanya perubahan kebijakan untuk meningkatkan kepatuhan dan keamanan, mulai 20 Maret 2025, pengguna OSS baru harus menggunakan nama domain kustom (CNAME) untuk melakukan operasi API data pada bucket OSS yang berlokasi di wilayah Tiongkok daratan. Titik akhir publik default dibatasi untuk operasi tersebut. Lihat pengumuman resmi untuk daftar lengkap operasi yang terdampak. Jika Anda mengakses data melalui HTTPS, Anda harus mengikat Sertifikat SSL yang valid ke domain kustom Anda. Hal ini wajib untuk akses Konsol OSS, karena konsol menerapkan HTTPS.
Jenis domain | Kasus penggunaan | Karakteristik penagihan | Diperlukan aktivasi |
Titik akhir publik | Akses publik dari aplikasi web dan klien seluler | Ditagih berdasarkan lalu lintas keluar melalui Internet | Tersedia secara default |
Titik akhir internal | Akses jaringan internal Alibaba Cloud (misalnya, instans ECS mengakses OSS) | Gratis untuk traffic jaringan internal | Tersedia secara default |
Titik akhir percepatan | Unggah dan unduh lintas wilayah serta lintas batas berkecepatan tinggi | Selain biaya lalu lintas keluar melalui Internet, Anda dikenakan biaya akselerasi transfer | Anda harus mengaktifkan akselerasi transfer |
Titik akhir dual-stack | Akses OSS melalui jaringan IPv6 | Ditagih berdasarkan lalu lintas keluar melalui Internet | Didukung di wilayah tertentu |
CNAME | Digunakan untuk resolusi DNS saat mengikat nama domain kustom | Ditagih berdasarkan lalu lintas keluar melalui Internet | Anda harus mengikat nama domain kustom dan mengonfigurasi resolusi CNAME |
Saat Anda mengakses file HTML, gambar, dan objek lain melalui nama domain bucket OSS, browser akan memaksa unduhan alih-alih pratinjau online. Untuk mengaktifkan pratinjau file, akses OSS menggunakan nama domain kustom. Anda dapat mengikat nama domain kustom ke titik akhir publik, titik akhir percepatan, titik akses, atau titik akses FC objek. Jika bucket Anda berada di Tiongkok daratan, nama domain tersebut harus memiliki Pendaftaran ICP.
Optimasi kinerja
Akselerasi CDN dan akselerasi transfer memberikan akselerasi untuk skenario yang berbeda. Anda dapat menggunakannya secara terpisah atau bersamaan, sesuai kebutuhan bisnis:
Dimensi | Akselerasi CDN | Akselerasi transfer |
Prinsip akselerasi | Menyimpan cache sumber daya statis di node tepi global dan melayani permintaan pengguna dari titik kehadiran terdekat | Menggunakan routing cerdas melalui backbone network Alibaba Cloud untuk mengoptimalkan jalur transmisi data |
Kasus penggunaan | Pembacaan sumber daya statis yang sering (gambar, file audio dan video, unduhan dokumen) | Unggah dan unduh lintas wilayah serta lintas batas jarak jauh |
Dukungan unggah | Jangan unggah melalui CDN | Mendukung unggah yang dipercepat |
Biaya | Biaya CDN + lalu lintas sumber OSS | Biaya lalu lintas keluar melalui Internet + biaya akselerasi transfer |
Penggunaan gabungan | Konfigurasikan pengambilan asal CDN untuk menggunakan titik akhir percepatan guna membangun arsitektur akselerasi ganda: penyimpanan sementara di tepi CDN ditambah akselerasi jaringan tulang punggung | |
Perlindungan keamanan
HTTPS
Nama domain bucket OSS mendukung akses HTTPS secara default, tanpa perlu konfigurasi tambahan. Saat Anda mengakses OSS menggunakan nama domain kustom, konfigurasikan sertifikat SSL untuk domain tersebut: jika Anda tidak menggunakan CDN, konfigurasikan Upload Certificate untuk nama domain kustom yang diikat ke bucket di Konsol OSS. Jika Anda menggunakan CDN, konfigurasikan SSL Certificate untuk nama domain akselerasi CDN di Konsol CDN. Di lingkungan produksi, terapkan akses HTTPS menggunakan kebijakan bucket dan tolak semua permintaan HTTP. Sertifikat SSL Alibaba Cloud mendukung pembaruan otomatis melalui penyimpanan sertifikat. Untuk informasi lebih lanjut, lihat Akses OSS menggunakan HTTPS.
Koneksi pribadi PrivateLink
PrivateLink membuat titik akhir pribadi khusus untuk OSS di dalam VPC Anda. Seluruh traffic mengalir melalui backbone network Alibaba Cloud tanpa melewati Internet. Dibandingkan dengan titik akhir internal default untuk OSS, PrivateLink menyediakan isolasi keamanan tingkat lebih tinggi:
Kemampuan | Titik akhir internal | PrivateLink |
Permukaan serangan | Entri layanan publik terpapar ke semua VPC | Entri berada di dalam VPC. VPC lain tidak dapat menemukan atau mengaksesnya |
Kontrol lapisan jaringan | Tidak dapat dikontrol oleh grup keamanan | Mendukung pengikatan grup keamanan untuk mengontrol akses IP sumber secara presisi |
Kemampuan audit | Hanya mencatat permintaan yang berhasil | Mendukung log aliran VPC untuk mengaudit semua upaya koneksi |
Perencanaan IP | Menggunakan blok CIDR 100.64.0.0/10, yang mungkin bertentangan dengan pusat data lokal Anda | Menggunakan IP dari blok CIDR VPC Anda, mengikuti rencana IP kustom Anda |
Anda dapat menghubungkan perangkat atau pusat data lokal ke VPC Anda menggunakan SSL-VPN atau Express Connect, lalu mengakses OSS melalui PrivateLink. Untuk informasi lebih lanjut, lihat Akses OSS melalui PrivateLink.
Perlindungan hotlink
Saat hotlinking menyebabkan biaya traffic melonjak, konfigurasikan daftar hitam dan daftar putih Referer untuk membatasi sumber akses. OSS menerapkan kontrol akses dalam urutan berikut: . Perlindungan hotlink hanya berlaku untuk akses anonim dan akses URL yang ditandatangani. Panggilan API yang ditandatangani dengan AccessKey tidak dibatasi. Jika Anda mengaktifkan akselerasi CDN untuk OSS, konfigurasikan juga aturan perlindungan hotlink di CDN. Jika tidak, permintaan hotlink mungkin mengenai cache CDN dan melewati validasi. Untuk informasi lebih lanjut, lihat Perlindungan hotlink.
Akses khusus
Reverse proxy pada instans ECS
OSS menyelesaikan titik akhir layanannya ke alamat IP dinamis melalui DNS. Hal ini dapat menyebabkan pembatasan akses saat Anda mengonfigurasi daftar izin firewall atau mengintegrasikan dengan sistem yang memerlukan alamat IP tetap. Deploy reverse proxy Nginx pada instans Elastic Compute Service (ECS) dengan Alamat IP publik statis. Teruskan permintaan melalui instans ini untuk mengakses sumber daya OSS menggunakan alamat IP tetap. Di lingkungan produksi, gunakan arsitektur ketersediaan tinggi dengan Server Load Balancer dan grup instans ECS di beberapa zona. Untuk informasi lebih lanjut, lihat Akses OSS menggunakan reverse proxy pada instans ECS.
Titik akses
Titik akses menyediakan titik akhir akses khusus untuk sebuah bucket. Saat beberapa aplikasi atau tim perlu mengakses bucket yang sama dengan izin berbeda, buat titik akses terpisah untuk masing-masing. Kelola izin secara individual menggunakan kebijakan titik akses (kebijakan AP) alih-alih mempertahankan aturan izin kompleks dalam satu kebijakan bucket. Setiap titik akses memiliki alias, kebijakan akses, dan konfigurasi sumber jaringan sendiri (Internet atau VPC tertentu). Titik akses mendukung autentikasi gabungan tiga lapis dengan kebijakan RAM dan kebijakan bucket. Untuk informasi lebih lanjut, lihat Titik akses.
Aplikasi web
Hosting website statis
OSS memungkinkan Anda menghosting file statis (HTML, CSS, JavaScript, dll.) dari bucket sebagai website yang dapat diakses publik tanpa mengelola server. Konfigurasikan halaman indeks default, halaman indeks subdirektori, dan halaman kesalahan 404 kustom. Mendukung Aplikasi halaman tunggal (SPA) dengan mengatur halaman 404 ke index.html dan kode respons ke 200. Untuk informasi lebih lanjut, lihat Hosting website statis.
Saat Anda mengakses file HTML melalui nama domain bucket OSS, browser akan memaksa unduhan. Ikatan nama domain kustom untuk mengaktifkan penjelajahan halaman web normal.
Pengaturan lintas domain
Saat website Anda memuat sumber daya OSS dan browser menampilkan kesalahan blocked by CORS policy, hal ini disebabkan oleh kebijakan asal sama browser yang membatasi akses sumber daya lintas domain. Konfigurasikan aturan CORS untuk bucket Anda (Origin, Allowed Methods, Allowed Headers, dll.) untuk mengizinkan website tertentu mengakses sumber daya OSS lintas domain. Aktifkan Vary: Origin saat menggunakan beberapa origin atau karakter wildcard untuk mencegah polusi cache. Jika bucket Anda menggunakan akselerasi CDN, konfigurasikan aturan lintas domain di Konsol CDN atau teruskan header respons CORS OSS. Untuk informasi lebih lanjut, lihat Pengaturan lintas domain.
FAQ
Bagaimana cara mengakses objek OSS dengan URL tanpa tanda tangan jangka panjang?
Anda memiliki dua opsi:
Atur objek menjadi baca-publik: Siapa pun dapat mengakses objek tanpa batasan. Untuk mencegah hotlinking berbahaya dan biaya tak terduga, konfigurasikan perlindungan hotlink untuk membatasi sumber akses.
Akses OSS menggunakan Alibaba Cloud CDN (CDN): Pertahankan objek sebagai pribadi dan aktifkan pengambilan asal bucket pribadi di CDN untuk menyediakan akses baca-publik. CDN memberikan kinerja akses dan caching yang lebih baik. Konfigurasikan perlindungan hotlink di CDN untuk mencegah penggunaan sumber daya tanpa izin.
Mengapa kecepatan unggah atau unduh saya lambat?
Kecepatan transfer OSS terutama bergantung pada bandwidth jaringan klien, kualitas tautan, dan strategi transfer. Pecahkan masalah dan optimalkan sebagai berikut:
Bandwidth dan tautan: Pastikan bandwidth saat ini tidak melebihi batas bandwidth bucket. Gunakan tool MTR untuk menganalisis kehilangan paket, latensi tinggi, atau anomali routing. Untuk transfer lintas batas atau jarak jauh, aktifkan akselerasi transfer.
Pemilihan tool: Gunakan ossutil untuk transfer file besar atau massal. Gunakan perintah
probe-nya untuk menguji status jaringan saat ini.Penyetelan SDK: Selalu gunakan unggah multi-bagian dan unggah yang dapat dilanjutkan untuk file besar. Atur ukuran bagian (
part_size) dan jumlah thread konkuren (num_threads) yang sesuai. Tingkatkan ukuran bagian saat kondisi jaringan baik untuk mengurangi jumlah permintaan. Nonaktifkan checksum CRC64 selama inisialisasi klien (misalnya, aturenable_crc=Falsedi Python) dan gunakan header permintaanContent-MD5untuk verifikasi integritas. Hal ini meningkatkan kinerja transfer sekaligus menjaga keamanan data.
Bagaimana cara memecahkan masalah error jaringan seperti kegagalan resolusi DNS atau timeout koneksi?
Jika permintaan mencapai OSS (respons menyertakan Request ID), gunakan Request ID dengan tool diagnosa mandiri OSS untuk mendiagnosis masalah.
Jika permintaan tidak mencapai OSS (Request ID kosong), pecahkan masalah berdasarkan jenis error:
Jenis error | Penyebab umum | Tindakan |
Connection refused | Port tidak dapat dijangkau atau titik akhir internal digunakan lintas wilayah | Gunakan titik akhir publik yang benar. Periksa firewall dan konektivitas jaringan dengan |
ConnectionTimeOut | Kondisi jaringan buruk atau pengaturan timeout terlalu singkat | Tingkatkan timeout koneksi dan pembacaan SDK. Aktifkan retry saat gagal. Gunakan unggah multi-bagian dan unggah yang dapat dilanjutkan untuk file besar guna meningkatkan stabilitas. Pertimbangkan penggunaan akselerasi CDN atau akselerasi transfer |
Socket timeout / closed | Koneksi timeout atau ditutup secara abnormal | Tingkatkan socket timeout di SDK (misalnya, |
Connection reset | Konfigurasi titik akhir salah atau pembatasan keamanan bucket | Pecahkan masalah langkah demi langkah: 1. Periksa konektivitas jaringan dengan |