Replikasi lintas wilayah dalam akun yang sama - Object Storage Service

Replikasi Lintas Wilayah (Cross-Region Replication/CRR) secara otomatis dan asinkron mereplikasi objek dari bucket sumber di satu wilayah ke bucket tujuan di wilayah lain dalam akun Alibaba Cloud yang sama. Operasi pembuatan, pembaruan, dan penghapusan objek direplikasi hampir secara real time. Topik ini menjelaskan cara mengonfigurasi CRR untuk bucket dalam akun yang sama.

Prasyarat

Anda telah membuat bucket sumber di suatu wilayah dalam akun Alibaba Cloud Anda. Catat UID akun, nama bucket sumber, dan wilayahnya.
Anda telah membuat bucket tujuan di wilayah berbeda dalam akun Alibaba Cloud yang sama. Catat nama bucket tujuan dan wilayahnya.

Jenis peran

Untuk menjalankan CRR, Anda harus menentukan peran RAM yang dapat diasumsikan oleh Object Storage Service (OSS) guna mereplikasi objek dari bucket sumber ke bucket tujuan. Anda dapat memilih salah satu jenis peran berikut untuk replikasi.

Penting

Anda dapat menggunakan RAM user untuk membuat peran tersebut. RAM user harus memiliki izin berikut: ram:CreateRole, ram:GetRole, ram:ListPoliciesForRole, dan ram:AttachPolicyToRole. Namun, memberikan izin terkait peran seperti ram:CreateRole dan ram:GetRole kepada RAM user menimbulkan risiko keamanan. Kami menyarankan agar Anda menggunakan akun Alibaba Cloud induk untuk membuat dan mengotorisasi peran RAM, yang kemudian dapat diasumsikan oleh RAM user.

(Direkomendasikan) peran RAM baru

Saat membuat aturan CRR, Anda dapat membuat peran RAM baru untuk replikasi. OSS secara otomatis membuat peran bernama oss-replication-{uuid} dan menyambungkan kebijakan izin berbeda tergantung pada apakah Anda mereplikasi objek yang dienkripsi dengan Key Management Service (KMS).

Replikasi objek yang dienkripsi KMS
Setelah membuat peran, berikan izin yang diperlukan sesuai prompt. Setelah diotorisasi, peran menerima kebijakan izin detail halus untuk replikasi dari bucket sumber ke bucket tujuan serta kebijakan AliyunKMSCryptoUserAccess untuk mengelola Key Management Service (KMS).
Tidak mereplikasi objek yang dienkripsi KMS
Setelah membuat peran, berikan izin yang diperlukan sesuai prompt. Setelah diotorisasi, peran menerima kebijakan izin detail halus untuk replikasi dari bucket sumber ke bucket tujuan.

AliyunOSSRole

Saat membuat aturan CRR, Anda dapat memilih AliyunOSSRole untuk menjalankan replikasi. OSS menyambungkan kebijakan izin berbeda ke peran tersebut berdasarkan pilihan Anda untuk mereplikasi atau tidak mereplikasi objek yang dienkripsi KMS.

Replikasi objek yang dienkripsi KMS
Jika Anda memilih AliyunOSSRole, OSS secara otomatis menyambungkan kebijakan izin berikut ke peran tersebut: AliyunOSSFullAccess (izin untuk mengelola Object Storage Service) dan AliyunKMSCryptoUserAccess (izin untuk mengelola Key Management Service).
Peringatan
Peran ini memiliki izin luas yang memungkinkan semua operasi pada semua bucket dan resource KMS dalam akun saat ini. Gunakan peran ini dengan hati-hati.
Tidak mereplikasi objek yang dienkripsi KMS
Jika Anda memilih AliyunOSSRole, OSS secara otomatis menyambungkan AliyunOSSFullAccess (izin untuk mengelola Object Storage Service) ke peran tersebut.
Peringatan
Peran ini memiliki izin luas yang memungkinkan semua operasi pada semua bucket dalam akun saat ini. Gunakan peran ini dengan hati-hati.

Peran kustom

Saat membuat aturan CRR, Anda dapat menggunakan peran kustom untuk replikasi. Anda harus membuat peran kustom tersebut di Konsol Resource Access Management (RAM) dan memberikan izin yang diperlukan kepada peran tersebut.

Buat peran layanan reguler.
Saat membuat peran, pilih Alibaba Cloud Service sebagai entitas tepercaya dan Object Storage Service sebagai layanan tepercaya. Untuk informasi selengkapnya, lihat Buat peran layanan reguler.
Berikan izin kepada peran tersebut.
Anda dapat menggunakan salah satu metode berikut untuk memberikan izin kepada peran tersebut.
Kebijakan sistem
Peringatan
Anda dapat menyambungkan kebijakan sistem AliyunOSSFullAccess ke peran RAM. Secara default, AliyunOSSFullAccess memberikan izin penuh atas semua bucket dalam akun saat ini. Gunakan kebijakan ini dengan hati-hati.
Untuk mereplikasi objek yang dienkripsi KMS, Anda juga harus menyambungkan kebijakan sistem AliyunKMSFullAccess ke peran tersebut.
Untuk informasi selengkapnya, lihat Berikan izin kepada peran RAM.
Kebijakan kustom
Gunakan kebijakan RAM untuk memberikan peran RAM izin minimum yang diperlukan untuk replikasi dari bucket sumber (src-bucket) ke bucket tujuan (dest-bucket).
Catatan
Ganti nama bucket sumber dan tujuan dengan nama bucket aktual Anda.
```
{
   "Version":"1",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "oss:ReplicateList",
            "oss:ReplicateGet"
         ],
         "Resource":[
            "acs:oss:*:*:src-bucket",
            "acs:oss:*:*:src-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "oss:ReplicateList",
            "oss:ReplicateGet",
            "oss:ReplicatePut",
            "oss:ReplicateDelete"
         ],
         "Resource":[
            "acs:oss:*:*:dest-bucket",
            "acs:oss:*:*:dest-bucket/*"
         ]
      }
   ]
}
```
Untuk informasi selengkapnya, lihat Berikan izin kepada peran RAM.
Catatan
Untuk mereplikasi objek yang dienkripsi KMS, Anda juga harus menyambungkan kebijakan sistem AliyunKMSFullAccess ke peran tersebut.

Penting

Saat mereplikasi data lintas wilayah dalam akun yang sama, OSS hanya memvalidasi kebijakan izin peran RAM yang digunakan untuk replikasi. OSS tidak memvalidasi kebijakan bucket pada bucket sumber atau tujuan.

Prosedur

Konsol OSS

Masuk ke Konsol OSS.
Di panel navigasi kiri, klik Buckets. Lalu, klik nama bucket sumber.
Di panel navigasi kiri, pilih Data Management > CRR.
Di tab CRR, klik CRR.

Di panel CRR, konfigurasikan parameter berikut.

Bagian	Parameter	Deskripsi
Configure Destination Bucket	Source bucket	Menampilkan wilayah dan nama bucket sumber.
Configure Destination Bucket	Destination bucket	Pilih Select a Bucket in This Account, lalu pilih wilayah dan nama bucket tujuan dari daftar drop-down.
Configure Replication Policy	Objects to Replicate	Pilih objek sumber yang akan direplikasi. Synchronize all files: Mereplikasi semua objek dalam bucket ke bucket tujuan. Sync by specified prefix: Hanya mereplikasi objek dengan awalan tertentu ke bucket tujuan. Anda dapat menambahkan hingga 10 awalan secara default. Untuk meningkatkan batas menjadi 100, hubungi Technical Support.
	Object Tagging	Catatan Untuk mengonfigurasi parameter ini, kondisi berikut harus dipenuhi: Tag sudah ditetapkan pada Objek. Opsi "Replicate Delete Markers" maupun "Replicate Delete Operations" tidak dipilih. Setelah memilih kotak centang Configure Rules, Anda dapat mereplikasi Objek dengan tag tertentu ke bucket tujuan. Anda dapat menambahkan hingga 10 tag (pasangan kunci-nilai). Setelah tag ditambahkan, Anda dapat memilih salah satu Tag filtering policy berikut: Include all tags: Objek direplikasi hanya jika semua tag yang didefinisikan dalam aturan filter ada pada Objek tersebut. Include any one tag: Objek direplikasi jika setidaknya satu tag yang didefinisikan dalam aturan filter ada pada Objek tersebut. Catatan Filtering tag saat ini tidak didukung di wilayah berikut: China (Zhangjiakou), China (Zhongwei), dan Mexico.
	Copy and delete operation	Pilih cara objek direplikasi. Catatan Setelah aturan CRR dibuat, perubahan kelas penyimpanan di bucket sumber yang disebabkan oleh aturan lifecycle atau operasi CopyObject, serta perubahan atribut waktu akses terakhir (`x-oss-last-access-time`) objek dalam bucket tidak direplikasi ke bucket tujuan. No (untuk skenario disaster recovery): Mereplikasi operasi pembuatan dan pembaruan objek dari bucket sumber ke bucket tujuan. Penting Dengan kebijakan ini, hanya objek baru dan yang diperbarui yang direplikasi. Operasi penghapusan di bucket sumber tidak memengaruhi bucket tujuan. Metode ini mencegah kehilangan data di bucket tujuan akibat penghapusan manual atau penghapusan otomatis oleh aturan lifecycle di bucket sumber. Jika Pengendalian versi diaktifkan untuk bucket sumber, ketika objek dihapus dari bucket sumber tanpa ID versi tertentu, OSS membuat penanda hapus di bucket sumber. Penanda hapus ini juga direplikasi ke bucket tujuan. Yes (untuk skenario di mana Anda perlu berbagi dan mengakses dataset yang sama): Mereplikasi operasi pembuatan, pembaruan, dan penghapusan objek dari bucket sumber ke bucket tujuan. Penting Dengan kebijakan ini, semua pembuatan, pembaruan, dan penghapusan objek direplikasi ke bucket tujuan. Metode ini menjamin konsistensi data dan cocok untuk lingkungan multi-user atau multi-aplikasi yang perlu berbagi dan mengakses dataset yang sama. Namun, ini juga berarti bahwa jika objek dihapus dari bucket sumber (baik secara manual maupun oleh aturan lifecycle), objek tersebut juga dihapus dari bucket tujuan dan tidak dapat dipulihkan. Ketika objek diunggah ke bucket sumber menggunakan unggah multi-bagian, setiap bagian direplikasi. Objek akhir, yang dibuat setelah operasi CompleteMultipartUpload selesai, juga direplikasi. Untuk informasi selengkapnya tentang perilaku replikasi saat CRR digunakan bersama Pengendalian versi, lihat CRR dan Pengendalian versi.
	Replicate Historical Data	Tentukan apakah akan mereplikasi objek yang sudah ada di bucket sumber sebelum Anda mengaktifkan CRR. Replicate: Mereplikasi data historis ke bucket tujuan. Penting Saat mereplikasi data historis, objek dari bucket sumber dapat menimpa objek dengan nama yang sama di bucket tujuan. Untuk mencegah kehilangan data ini, kami menyarankan agar Anda mengaktifkan Pengendalian versi untuk kedua bucket, baik sumber maupun tujuan. Do Not Replicate: Hanya mereplikasi objek yang diunggah atau diperbarui setelah aturan CRR berlaku.
	Replicate Objects Encrypted Based on KMS	Tentukan apakah akan mereplikasi objek yang dienkripsi KMS ke bucket tujuan. Replicate: Mereplikasi objek ke bucket tujuan jika objek sumber dienkripsi dengan kunci yang dikelola KMS (SSE-KMS dengan ID customer master key (CMK) tertentu) atau bucket tujuan dikonfigurasi untuk menggunakan enkripsi SSE-KMS. Catatan Anda dapat memanggil operasi HeadObject dan GetBucketEncryption untuk mengecek status enkripsi objek sumber dan bucket tujuan, masing-masing. Do Not Replicate: Tidak mereplikasi objek yang dienkripsi KMS ke bucket tujuan.
	CMK ID	Tentukan kunci KMS untuk mengenkripsi objek tujuan. Anda harus terlebih dahulu membuat kunci KMS di wilayah yang sama dengan bucket tujuan. Untuk informasi selengkapnya, lihat Buat CMK.
	RAM Role	Kami menyarankan memilih New RAM Role. Anda kemudian harus memberikan izin kepada peran tersebut sesuai prompt. Anda juga dapat memilih AliyunOSSRole atau peran kustom. Untuk informasi selengkapnya tentang ketiga jenis peran ini, lihat Jenis peran.
Configure Replication Speed	Acceleration Type	Hanya Transfer Acceleration yang didukung. Transfer Acceleration meningkatkan kecepatan replikasi lintas wilayah antara wilayah di dalam dan luar daratan Tiongkok. Jika Anda mengaktifkan Transfer Acceleration, biaya tambahan akan dikenakan. Untuk informasi selengkapnya tentang penagihan, lihat Biaya Transfer Acceleration.
Configure Replication Speed	Replication Time Control (RTC)	Catatan RTC tersedia di wilayah berikut: China (Hangzhou), China (Shanghai), China (Qingdao), China (Beijing), China (Zhangjiakou), dan China (Shenzhen). RTC tersedia di wilayah berikut: US (Silicon Valley) dan US (Virginia). Jika Anda tidak mereplikasi data historis, RTC berlaku dalam waktu 15 menit. Jika Anda mereplikasi data historis, RTC berlaku sekitar satu jam setelah data historis selesai direplikasi. Setelah RTC berlaku, OSS mereplikasi 99,99% objek baru (objek non-historis) dalam waktu 10 menit. Jika Anda mengaktifkan RTC, biaya RTC akan dikenakan.

Klik OK. Di kotak dialog yang muncul, klik Enable.
- Setelah aturan CRR dibuat, Anda tidak dapat mengubah atau menghapusnya.
- Replikasi dimulai 3 hingga 5 menit setelah Anda mengonfigurasi aturan CRR. Anda dapat melihat progres replikasi di tab CRR bucket sumber.
- Waktu yang diperlukan untuk mereplikasi objek ke bucket tujuan bergantung pada ukuran dan jumlah objek tersebut, biasanya berkisar dari beberapa menit hingga beberapa jam.

Alibaba Cloud SDKs

Hanya Alibaba Cloud SDK untuk Java, Python, dan Go yang mendukung CRR dalam akun yang sama.

Java

import com.aliyun.oss.*;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.common.comm.SignVersion;
import com.aliyun.oss.model.AddBucketReplicationRequest;

public class Demo {

    public static void main(String[] args) throws Exception {
        // Contoh ini menggunakan wilayah China (Hangzhou). Ganti endpoint dengan endpoint aktual wilayah tempat bucket sumber Anda berada.
        String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
        // Tentukan ID wilayah yang sesuai dengan endpoint, misalnya cn-hangzhou.
        String region = "cn-hangzhou";
        // Menyimpan kredensial dalam kode Anda tidak disarankan karena dapat menyebabkan kebocoran dan membahayakan keamanan akun Anda. Contoh ini menunjukkan cara memperoleh kredensial dari variabel lingkungan. Sebelum menjalankan contoh ini, konfigurasikan variabel lingkungan yang diperlukan.
        EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
        // Tentukan nama bucket sumber.
        String bucketName = "src-bucket";
        // Tentukan bucket tujuan untuk replikasi data. Bucket tujuan dan bucket sumber harus berada dalam akun yang sama.
        String targetBucketName = "dest-bucket";
        // Tentukan wilayah bucket tujuan. Bucket tujuan harus berada di wilayah berbeda dari bucket sumber.
        String targetBucketLocation = "oss-cn-shanghai";

        // Buat instance OSSClient.
        // Saat instance OSSClient tidak lagi digunakan, panggil metode shutdown untuk melepaskan resource.
        ClientBuilderConfiguration clientBuilderConfiguration = new ClientBuilderConfiguration();
        // Secara eksplisit deklarasikan penggunaan algoritma signature V4.
        clientBuilderConfiguration.setSignatureVersion(SignVersion.V4);
        OSS ossClient = OSSClientBuilder.create()
                .endpoint(endpoint)
                .credentialsProvider(credentialsProvider)
                .clientConfiguration(clientBuilderConfiguration)
                .region(region)
                .build();

        try {
            AddBucketReplicationRequest request = new AddBucketReplicationRequest(bucketName);
            request.setTargetBucketName(targetBucketName);
            request.setTargetBucketLocation(targetBucketLocation);
            // Secara default, data historis direplikasi. Atur parameter ini ke false untuk menonaktifkan replikasi data historis.
            request.setEnableHistoricalObjectReplication(false);
            // Tentukan peran RAM yang diasumsikan OSS untuk replikasi. Peran tersebut harus memiliki izin untuk mereplikasi dari bucket sumber dan menulis ke bucket tujuan.
            request.setSyncRole("yourRole");
            // Tentukan apakah OSS mereplikasi objek yang dienkripsi menggunakan SSE-KMS.
            //request.setSseKmsEncryptedObjectsStatus("Enabled");
            // Tentukan ID kunci SSE-KMS. Elemen ini wajib jika Status diatur ke Enabled.
            //request.setReplicaKmsKeyID("3542abdd-5821-4fb5-a425-90adca***");
            //List prefixes = new ArrayList();
            //prefixes.add("image/");
            //prefixes.add("video");
            //prefixes.add("a");
            //prefixes.add("A");
            // Tentukan awalan objek yang akan direplikasi. Hanya objek dengan awalan yang ditentukan yang direplikasi ke bucket tujuan.
            //request.setObjectPrefixList(prefixes);
            //List actions = new ArrayList();
            //actions.add(AddBucketReplicationRequest.ReplicationAction.PUT);
            // Replikasi operasi pembuatan dan pembaruan objek dari bucket sumber ke bucket tujuan.
            //request.setReplicationActionList(actions);
            ossClient.addBucketReplication(request);
        } catch (OSSException oe) {
            System.out.println("Caught an OSSException, which means your request made it to OSS, "
                    + "but was rejected with an error response for some reason.");
            System.out.println("Error Message:" + oe.getErrorMessage());
            System.out.println("Error Code:" + oe.getErrorCode());
            System.out.println("Request ID:" + oe.getRequestId());
            System.out.println("Host ID:" + oe.getHostId());
        } catch (ClientException ce) {
            System.out.println("Caught an ClientException, which means the client encountered "
                    + "a serious internal problem while trying to communicate with OSS, "
                    + "such as not being able to access the network.");
            System.out.println("Error Message:" + ce.getMessage());
        } finally {
            if (ossClient != null) {
                ossClient.shutdown();
            }
        }
    }
}

Python

# -*- coding: utf-8 -*-
import oss2
from oss2.credentials import EnvironmentVariableCredentialsProvider
from oss2.models import ReplicationRule
# Peroleh kredensial dari variabel lingkungan. Sebelum menjalankan kode contoh ini, pastikan variabel lingkungan OSS_ACCESS_KEY_ID dan OSS_ACCESS_KEY_SECRET telah dikonfigurasi.
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# Tentukan endpoint wilayah tempat bucket sumber berada. Contoh ini menggunakan wilayah China (Hangzhou). Atur endpoint ke https://oss-cn-hangzhou.aliyuncs.com.
# Tentukan nama bucket sumber, misalnya src-bucket.
bucket = oss2.Bucket(auth, 'https://oss-cn-hangzhou.aliyuncs.com', 'src-bucket')
replica_config = ReplicationRule(
    # Tentukan bucket tujuan untuk replikasi data. Bucket tujuan dan bucket sumber harus berada dalam akun yang sama.
    target_bucket_name='dest-bucket',
    # Tentukan wilayah bucket tujuan. Bucket tujuan dan bucket sumber harus berada di wilayah berbeda.
    target_bucket_location='oss-cn-shanghai',
    # Tentukan nama peran RAM yang diasumsikan OSS untuk mereplikasi data. Peran ini harus memiliki izin untuk menjalankan CRR dari bucket sumber dan menulis ke bucket tujuan.
    sync_role_name='roleNameTest',
)

# Tentukan awalan objek yang akan direplikasi. Setelah Anda menentukan awalan, hanya objek yang namanya diawali dengan awalan tersebut yang direplikasi ke bucket tujuan.
# prefix_list = ['prefix1', 'prefix2']
# Konfigurasikan aturan replikasi data.
# replica_config = ReplicationRule(
     # prefix_list=prefix_list,
     # Replikasi operasi pembuatan dan pembaruan objek dari bucket sumber ke bucket tujuan.
     # action_list=[ReplicationRule.PUT],
     # Tentukan bucket tujuan untuk replikasi data. Bucket tujuan dan bucket sumber harus berada dalam akun yang sama.
     # target_bucket_name='dest-bucket',
     # Tentukan wilayah bucket tujuan. Bucket tujuan dan bucket sumber harus berada di wilayah berbeda.
     # target_bucket_location='yourTargetBucketLocation',
     # Secara default, data historis direplikasi. Atur parameter ini ke False untuk menonaktifkan replikasi data historis.
     # is_enable_historical_object_replication=False,
     # Tentukan tautan transfer data yang akan digunakan untuk replikasi data.
     # target_transfer_type='oss_acc',    
  #)

# Aktifkan replikasi data.
bucket.put_bucket_replication(replica_config)

Go

package main

import (
	"context"
	"flag"
	"log"

	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
	"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)

// Definisikan variabel global.
var (
	region     string // Wilayah tempat bucket berada.
	bucketName string // Nama bucket.
)

// Tentukan fungsi init yang digunakan untuk menginisialisasi parameter baris perintah.
func init() {
	flag.StringVar(&region, "region", "", "Wilayah tempat bucket berada.")
	flag.StringVar(&bucketName, "bucket", "", "Nama bucket.")
}

func main() {
	// Parsing parameter baris perintah.
	flag.Parse()

	var (
		targetBucket   = "target bucket name" // Nama bucket tujuan.
		targetLocation = "oss-cn-beijing"     // Wilayah tempat bucket tujuan berada.
	)

	// Periksa apakah nama bucket telah ditentukan.
	if len(bucketName) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, bucket name required")
	}

	// Periksa apakah wilayah telah ditentukan.
	if len(region) == 0 {
		flag.PrintDefaults()
		log.Fatalf("invalid parameters, region required")
	}

	// Muat konfigurasi default dan tentukan penyedia kredensial serta wilayah.
	cfg := oss.LoadDefaultConfig().
		WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
		WithRegion(region)

	// Buat klien OSS.
	client := oss.NewClient(cfg)

	// Buat permintaan untuk mengaktifkan replikasi data untuk bucket.
	request := &oss.PutBucketReplicationRequest{
		Bucket: oss.Ptr(bucketName), // Nama bucket.
		ReplicationConfiguration: &oss.ReplicationConfiguration{
			Rules: []oss.ReplicationRule{
				{
					RTC: &oss.ReplicationTimeControl{
						Status: oss.Ptr("enabled"), // Aktifkan fitur RTC.
					},
					Destination: &oss.ReplicationDestination{
						Bucket:       oss.Ptr(targetBucket),   // Nama bucket tujuan.
						Location:     oss.Ptr(targetLocation), // Wilayah tempat bucket tujuan berada.
						TransferType: oss.TransferTypeOssAcc,  // Jenis transfer.
					},
					HistoricalObjectReplication: oss.HistoricalObjectReplicationEnabled, // Aktifkan fitur replikasi data historis.
				},
			},
		},
	}

	// Aktifkan replikasi data.
	result, err := client.PutBucketReplication(context.TODO(), request)
	if err != nil {
		log.Fatalf("failed to put bucket replication %v", err)
	}

	// Tampilkan hasilnya.
	log.Printf("put bucket replication result:%#v\n", result)
}

ossutil

Untuk informasi selengkapnya tentang cara mengaktifkan CRR menggunakan ossutil, lihat put-bucket-replication.

REST API

Untuk aplikasi yang sangat disesuaikan, Anda dapat langsung memanggil operasi REST API. Hal ini mengharuskan Anda menulis kode secara manual untuk menghitung signature setiap permintaan. Untuk informasi selengkapnya, lihat PutBucketReplication.

Object Storage Service:Replikasi lintas wilayah dalam akun yang sama