Object Storage Service:アクセスドメインとネットワーク接続の概要

HTTPS

OSS バケットドメイン名は、追加設定なしでデフォルトで HTTPS アクセスをサポートします。カスタムドメイン名を使用して OSS にアクセスする場合は、そのドメインに SSL 証明書を設定します：CDN を使用しない場合は、OSS コンソールでバケットにバインドされたカスタムドメイン名に対して 証明書をアップロード を設定します。CDN を使用する場合は、CDN コンソールで CDN ドメイン名に対して HTTPS 証明書 を設定します。本番環境では、バケットポリシーを使用して HTTPS アクセスを強制し、すべての HTTP リクエストを拒否してください。Alibaba Cloud の SSL 証明書は、証明書のホスティングによる自動更新をサポートしています。詳細については、「HTTPS を使用した OSS へのアクセス」をご参照ください。

PrivateLink プライベート接続

PrivateLink は、ご利用の VPC 内に OSS 専用のプライベートエンドポイントを作成します。すべてのトラフィックはインターネットを経由せず、Alibaba Cloud のバックボーンネットワークを通過します。OSS のデフォルトの内部エンドポイントと比較して、PrivateLink はより高度なセキュリティ分離を提供します：

SSL-VPN または Express Connect を使用して、オンプレミスのデバイスやデータセンターを VPC に接続し、PrivateLink 経由で OSS にアクセスできます。詳細については、「PrivateLink 経由での OSS へのアクセス」をご参照ください。

ホットリンク保護

ホットリンクによってトラフィックコストが急増した場合、Referer のブラックリストとホワイトリストを設定してアクセス元を制限します。OSS は次の順序でアクセスの制御を実施します：[空の Referer のチェック] > [ブラックリストのチェック] > [ホワイトリストのチェック]。ホットリンク保護は、匿名アクセスと署名付き URL アクセスにのみ適用されます。AccessKey で署名された API 呼び出しは制限されません。OSS で CDN 高速化を有効にしている場合は、CDN でもホットリンク保護ルールを設定してください。そうしないと、ホットリンクリクエストが CDN キャッシュにヒットし、検証をバイパスする可能性があります。詳細については、「ホットリンク保護」をご参照ください。

ECS インスタンスでのリバースプロキシ

OSS は、DNS を通じてサービスエンドポイントを動的 IP アドレスに解決します。これにより、ファイアウォールの許可リストを設定したり、固定 IP アドレスを必要とするシステムと統合したりする際に、アクセス制限が発生する可能性があります。固定パブリック IP アドレスを持つ Elastic Compute Service (ECS) インスタンスに Nginx リバースプロキシをデプロイします。このインスタンスを介してリクエストを転送することで、固定 IP アドレスを使用して OSS リソースにアクセスします。本番環境では、Server Load Balancer と複数のゾーンにまたがる ECS インスタンスグループを使用した高可用性アーキテクチャを使用してください。詳細については、「ECS インスタンス上のリバースプロキシを使用した OSS へのアクセス」をご参照ください。

アクセスポイント

アクセスポイントは、バケットへの専用アクセスエンドポイントを提供します。複数のアプリケーションやチームが異なる権限で同じバケットにアクセスする必要がある場合、それぞれに個別のアクセスポイントを作成します。単一のバケットポリシーで複雑な権限ルールを維持する代わりに、アクセスポイントポリシー (AP ポリシー) を使用して権限を個別に管理します。各アクセスポイントには、独自のエイリアス、アクセスポリシー、およびネットワークソース設定 (インターネットまたは指定された VPC) があります。RAM ポリシーおよびバケットポリシーとの 3 層の共同認証をサポートしています。詳細については、「アクセスポイント」をご参照ください。

静的 Web サイトホスティング

OSS を使用すると、サーバーを管理することなく、バケットから静的ファイル (HTML、CSS、JavaScript など) を公開アクセス可能な Web サイトとしてホスティングできます。デフォルトページ、サブディレクトリのインデックスページ、およびカスタム 404 エラーページを設定します。シングルページアプリケーション (SPA) をサポートするには、404 ページを index.html に、レスポンスコードを 200 に設定します。詳細については、「静的 Web サイトホスティング」をご参照ください。

クロスドメイン設定

ご利用の Web サイトが OSS リソースを読み込み、ブラウザに blocked by CORS policy エラーが表示される場合、それはブラウザの同一オリジンポリシーがクロスドメインのリソースアクセスを制限しているためです。バケットに CORS ルール (ソース、許可されたメソッド、許可されたヘッダー など) を設定して、特定の Web サイトがクロスドメインで OSS リソースにアクセスすることを許可します。複数のオリジンまたはワイルドカードを使用する場合は、キャッシュ汚染を防ぐために Vary: Origin を有効にします。バケットが CDN 高速化を使用している場合は、CDN コンソールでクロスドメインルールを設定するか、OSS CORS レスポンスヘッダーをパススルーします。詳細については、「クロスドメイン設定」をご参照ください。

署名なしの長期 URL で OSS オブジェクトにアクセスする方法

2 つのオプションがあります：

• オブジェクトを公開読み取りに設定する：誰でも制限なくオブジェクトにアクセスできます。悪意のあるホットリンクや予期せぬ料金を防ぐために、ホットリンク保護を設定してアクセス元を制限してください。

• Alibaba Cloud CDN (CDN) を使用して OSS にアクセスする：オブジェクトを非公開に保ち、CDN でプライベートバケットのオリジンフェッチを有効にして、公開読み取りアクセスを提供します。CDN は、より優れたアクセスパフォーマンスとキャッシングを提供します。CDN でホットリンク保護を設定して、リソースの不正利用を防ぎます。

アップロードまたはダウンロードの速度が遅い原因

OSS の転送速度は、主にクライアントのネットワーク帯域幅、回線品質、および転送戦略に依存します。次のようにトラブルシューティングと最適化を行ってください：

• 帯域幅と回線：現在の帯域幅がバケットの帯域幅制限を超えていないことを確認します。MTR ツールを使用して、パケット損失、高レイテンシー、またはルーティングの異常を分析します。国境を越えた転送や長距離転送の場合は、転送アクセラレーションを有効にします。

• ツールの選択：大規模または大量のファイル転送には ossutil を使用します。その probe コマンドを使用して、現在のネットワーク状態をテストします。

• SDK のチューニング：大規模ファイルには、常にマルチパートアップロードと再開可能なアップロードを使用します。適切なパートサイズ (part_size) と同時実行スレッド数 (num_threads) を設定します。ネットワーク状態が良い場合はパートサイズを大きくして、リクエスト数を減らします。クライアントの初期化中に CRC64 チェックサムを無効にし (例：Python で enable_crc=False を設定)、Content-MD5 リクエストヘッダーを使用して整合性検証を行います。これにより、データの安全性を保ちながら転送パフォーマンスが向上します。

DNS 名前解決の失敗や接続タイムアウトなどのネットワークエラーのトラブルシューティング方法

リクエストが OSS に到達した場合 (レスポンスにリクエスト ID が含まれる場合)、リクエスト ID をOSS 自己診断ツールで使用して問題を診断します。

リクエストが OSS に到達しない場合 (リクエスト ID が空の場合)、エラーの種類に応じてトラブルシューティングを行います：