OSS提供多樣化的網路訪問方案,涵蓋網域名稱配置、效能最佳化、安全防護和專用接入等能力,協助構建高效、穩定、安全的儲存訪問架構。
快速選擇
|
分類 |
情境 |
推薦方案 |
|
基礎訪問 |
查詢各地區的Endpoint和內網VIP網段 |
|
|
外網、內網、傳輸加速等網域名稱類型的格式和用法 |
||
|
實現檔案線上預覽、統一品牌識別 |
||
|
效能最佳化 |
靜態資源(圖片、音視頻、文檔)全球分發加速 |
|
|
跨地區遠距離資料上傳和下載加速 |
||
|
安全防護 |
自訂網域名啟用HTTPS加密傳輸 |
|
|
VPC與OSS之間建立安全隔離的私人串連 |
||
|
防止資源被其他網站盜用導致流量費用激增 |
||
|
專用接入 |
通過固定IP地址訪問OSS |
|
|
多應用或多團隊差異化許可權訪問同一Bucket |
||
|
Web應用 |
將Bucket中的靜態檔案發布為網站 |
|
|
解決瀏覽器載入OSS資源時的跨域攔截 |
網域名稱類型
OSS根據網路環境和效能需求提供不同類型的訪問網域名稱,各網域名稱類型的格式、使用樣本和切換方式請參見通過Endpoint和Bucket網域名稱訪問OSS,各地區對應的Endpoint請參見地區和Endpoint。
|
網域名稱類型 |
適用情境 |
費用特點 |
是否需要開通 |
|
外網訪問網域名稱 |
Web應用、移動用戶端等公網訪問 |
按外網流出流量計費 |
預設可用 |
|
內網訪問網域名稱 |
阿里雲內網訪問(如ECS訪問OSS) |
內網流量免費 |
預設可用 |
|
傳輸加速網域名稱 |
跨地區、跨國際高速上傳/下載 |
除了外網流出流量費用,額外收取傳輸加速費用 |
需開啟傳輸加速功能 |
|
雙棧網域名稱 |
IPv6網路環境訪問OSS |
按外網流出流量計費 |
部分地區支援 |
|
CNAME網域名稱 |
自訂網域名綁定時用於DNS解析配置 |
按外網流出流量計費 |
同地區ECS通過內網網域名稱(如oss-cn-hangzhou-internal.aliyuncs.com)直連OSS,走阿里雲內部網路,不需要配置VPC對等串連或路由策略。傳統網路和VPC網路的ECS執行個體均可使用同一內網Endpoint訪問OSS,不經過公網,不產生外網流出流量費用。跨地區訪問OSS需通過公網或雲企業網CEN實現互連。
通過OSS Bucket網域名稱訪問HTML、圖片等檔案時,瀏覽器會強制下載而非線上預覽。如需實現檔案預覽功能,請通過自訂網域名訪問OSS。自訂網域名支援綁定至外網訪問網域名稱、傳輸加速網域名稱、存取點網域名稱或對象FC存取點網域名稱。若Bucket位於中國內地,綁定的網域名稱必須完成ICP備案。
效能最佳化
CDN加速和傳輸加速分別針對不同情境提供加速能力,可根據業務需求單獨使用或組合使用:
|
維度 |
CDN加速 |
傳輸加速 |
|
加速原理 |
將靜態資源緩衝到全球邊緣節點,就近響應使用者請求 |
利用阿里雲骨幹網智能路由,最佳化資料轉送路徑 |
|
適用情境 |
靜態資源高頻讀取(圖片、音視頻、文檔下載) |
跨地區、跨國際遠距離資料上傳和下載 |
|
對上傳的支援 |
不建議通過CDN上傳 |
支援加速上傳 |
|
費用 |
外網流出流量費用 + 傳輸加速費用 |
|
|
組合使用 |
將CDN回源配置到傳輸加速網域名稱,構建“CDN邊緣緩衝 + 骨幹網加速”的雙重加速架構 |
|
安全防護
HTTPS
OSS的Bucket網域名稱預設支援HTTPS訪問,無需額外配置。通過自訂網域名訪問時,需要為該網域名稱配置SSL認證:未開啟CDN時在OSS控制台為Bucket綁定的自訂網域名配置證書托管,已開啟CDN時在CDN控制台為CDN加速網域名稱配置HTTPS证书。生產環境建議通過Bucket Policy強制HTTPS訪問,拒絕所有HTTP請求。阿里雲SSL認證支援開啟認證託管實現自動續期。詳情請參見通過HTTPS協議訪問OSS。
PrivateLink私網串連
PrivateLink在VPC內部建立指向OSS的專屬私人終端節點,訪問流量全程在阿里雲骨幹網路內傳輸,不經過公網。相比OSS預設的內網訪問網域名稱,PrivateLink提供更進階別的安全隔離:
|
能力 |
內網訪問網域名稱 |
PrivateLink |
|
攻擊面 |
公用服務入口,暴露給所有VPC |
入口在VPC內部,其他VPC無法發現和訪問 |
|
網路層控制 |
無法通過安全性群組控制 |
支援綁定安全性群組,精確控制源IP訪問 |
|
審計能力 |
僅記錄成功請求 |
支援VPC流日誌,審計所有串連嘗試 |
|
IP規劃 |
佔用100.64.0.0/10網段,可能與本地IDC衝突 |
使用VPC網段內IP,遵循自訂IP規劃 |
支援通過SSL-VPN或Express Connect專線將本地裝置/資料中心接入VPC,再通過PrivateLink訪問OSS。詳情請參見通過PrivateLink私網訪問OSS。
防盜鏈
當OSS資源被其他網站盜鏈導致流量費用激增時,可通過配置Referer黑白名單限制資源的訪問來源。OSS按照的優先順序順序執行存取控制。防盜鏈僅對匿名訪問和簽名URL訪問生效,使用AccessKey簽名的API調用不受限制。若OSS配置了CDN加速,需在CDN層面同步配置防盜鏈規則,否則盜鏈請求可能命中CDN緩衝繞過驗證。詳情請參見防盜鏈。
專用接入
ECS反向 Proxy
OSS通過DNS解析提供的IP地址是動態變化的,在需要配置防火牆白名單或進行特定系統整合時,可能導致訪問受限。可在綁定固定公網IP的ECS執行個體上部署Nginx反向 Proxy,將請求轉寄至OSS,實現通過固定IP訪問OSS資源。生產環境建議採用“負載平衡 + 多可用性區域ECS執行個體組”的高可用架構。詳情請參見通過ECS反向 Proxy訪問OSS。
存取點
存取點(Access Point)為Bucket提供獨立的訪問入口。當一個Bucket需要被多個應用或團隊以不同許可權訪問時,可為每個訪問方建立獨立的存取點,通過存取點策略(AP Policy)分別管理各自的許可權,避免在單一Bucket Policy中維護複雜的許可權規則。每個存取點擁有獨立的別名、存取原則和網路來源配置(互連網或指定VPC),支援與RAM Policy、Bucket Policy形成三層策略聯合鑒權。詳情請參見存取點。
Web應用
靜態網站託管
OSS支援將Bucket中的靜態檔案(HTML、CSS、JavaScript等)直接發布為公開訪問的網站,無需維護伺服器。支援配置預設首頁、子目錄首頁和自訂404錯誤頁,同時支援SPA單頁應用的路由託管(將404頁設為index.html、錯誤響應碼設為200)。詳情請參見靜態網站託管。
使用OSS Bucket網域名稱訪問HTML檔案時瀏覽器會強制下載,需綁定自訂網域名才能實現網頁正常瀏覽。
跨網域設定
當網站載入OSS資源時瀏覽器報blocked by CORS policy錯誤,是因為瀏覽器的同源策略限制了跨域資源訪問。通過為Bucket配置CORS規則(來源、允許 Methods、允許 Headers等),可授權指定網站跨域訪問OSS資源。使用多個來源或萬用字元時需開啟返回 Vary: Origin避免緩衝汙染;若Bucket開啟了CDN加速,需在CDN控制台配置跨域規則或透傳OSS的CORS回應標頭。詳情請參見跨網域設定。
常見問題
如何使用不帶簽名的長期有效URL訪問OSS檔案?
有以下兩種方式:
-
通過CDN加速訪問OSS:保持檔案許可權為私人,開啟CDN的私人Bucket回源功能提供公用讀取訪問。CDN提供更好的訪問效能和緩衝能力,需在CDN層面配置防盜鏈規則防止資源被盜用。
上傳或下載檔案時速度很慢,怎麼辦?
OSS傳輸速度主要受用戶端網路頻寬、鏈路品質和傳輸策略影響,可從以下方面排查和最佳化:
-
頻寬與鏈路:確認當前頻寬未達到Bucket的頻寬上限,使用MTR工具分析鏈路是否存在丟包、高延遲或路由異常。跨國或遠距離傳輸情境建議開啟傳輸加速訪問。
-
工具選擇:推薦使用ossutil進行大檔案或大量檔案傳輸,通過其
probe命令可檢測當前網路狀態。 -
SDK調優:大檔案務必使用分區上傳和斷點續傳上傳,合理配置分區大小(
part_size)和並發線程數(num_threads),網路良好時可適當增大分區大小以減少請求次數。初始化用戶端時可關閉CRC64校正(如Python設定enable_crc=False),改用要求標頭Content-MD5進行完整性校正,在保證資料安全的前提下提升傳輸效能。
訪問時出現網路錯誤(如解析失敗、連線逾時)如何排查?
如請求已到達OSS(響應中含Request ID),擷取Request ID後使用OSS自助診斷工具檢測即可。
如請求未到達OSS(Request ID為空白),按錯誤類型排查:
|
錯誤類型 |
常見原因 |
處理方式 |
|
Connection refused |
連接埠不通,或跨地區使用了內網Endpoint |
改用正確的外網Endpoint,通過 |
|
ConnectionTimeOut |
網路環境不佳或逾時設定過短 |
增大SDK連線逾時和讀取逾時,開啟失敗重傳機制;大檔案使用分區上傳和斷點續傳上傳提升穩定性;考慮使用CDN加速或傳輸加速 |
|
Socket timeout / closed |
連線逾時或被異常關閉 |
增大SDK中Socket逾時配置(如Java SDK的 |
|
Connection reset |
Endpoint配置錯誤、Bucket被安全限制等 |
依次排查:1. |