OSS提供多樣化的網路訪問方案,涵蓋網域名稱配置、效能最佳化、安全防護和專用接入等能力,協助構建高效、穩定、安全的儲存訪問架構。
快速選擇
分類 | 情境 | 推薦方案 |
基礎訪問 | 查詢各地區的Endpoint和內網VIP網段 | |
外網、內網、傳輸加速等網域名稱類型的格式和用法 | ||
實現檔案線上預覽、統一品牌識別 | ||
效能最佳化 | 靜態資源(圖片、音視頻、文檔)全球分發加速 | |
跨地區遠距離資料上傳和下載加速 | ||
安全防護 | 自訂網域名啟用HTTPS加密傳輸 | |
VPC與OSS之間建立安全隔離的私人串連 | ||
防止資源被其他網站盜用導致流量費用激增 | ||
專用接入 | 通過固定IP地址訪問OSS | |
多應用或多團隊差異化許可權訪問同一Bucket | ||
Web應用 | 將Bucket中的靜態檔案發布為網站 | |
解決瀏覽器載入OSS資源時的跨域攔截 |
網域名稱類型
OSS根據網路環境和效能需求提供不同類型的訪問網域名稱,各網域名稱類型的格式、使用樣本和切換方式請參見通過Endpoint和Bucket網域名稱訪問OSS,各地區對應的Endpoint請參見地區和Endpoint。
網域名稱類型 | 適用情境 | 費用特點 | 是否需要開通 |
外網訪問網域名稱 | Web應用、移動用戶端等公網訪問 | 按外網流出流量計費 | 預設可用 |
內網訪問網域名稱 | 阿里雲內網訪問(如ECS訪問OSS) | 內網流量免費 | 預設可用 |
傳輸加速網域名稱 | 跨地區、跨國際高速上傳/下載 | 除了外網流出流量費用,額外收取傳輸加速費用 | 需開啟傳輸加速功能 |
雙棧網域名稱 | IPv6網路環境訪問OSS | 按外網流出流量計費 | 部分地區支援 |
CNAME網域名稱 | 自訂網域名綁定時用於DNS解析配置 | 按外網流出流量計費 |
通過OSS Bucket網域名稱訪問HTML、圖片等檔案時,瀏覽器會強制下載而非線上預覽。如需實現檔案預覽功能,請通過自訂網域名訪問OSS。自訂網域名支援綁定至外網訪問網域名稱、傳輸加速網域名稱、存取點網域名稱或對象FC存取點網域名稱。若Bucket位於中國內地,綁定的網域名稱必須完成ICP備案。
效能最佳化
CDN加速和傳輸加速分別針對不同情境提供加速能力,可根據業務需求單獨使用或組合使用:
維度 | CDN加速 | 傳輸加速 |
加速原理 | 將靜態資源緩衝到全球邊緣節點,就近響應使用者請求 | 利用阿里雲骨幹網智能路由,最佳化資料轉送路徑 |
適用情境 | 靜態資源高頻讀取(圖片、音視頻、文檔下載) | 跨地區、跨國際遠距離資料上傳和下載 |
對上傳的支援 | 不建議通過CDN上傳 | 支援加速上傳 |
費用 | 外網流出流量費用 + 傳輸加速費用 | |
組合使用 | 將CDN回源配置到傳輸加速網域名稱,構建“CDN邊緣緩衝 + 骨幹網加速”的雙重加速架構 | |
安全防護
HTTPS
OSS的Bucket網域名稱預設支援HTTPS訪問,無需額外配置。通過自訂網域名訪問時,需要為該網域名稱配置SSL認證:未開啟CDN時在OSS控制台為Bucket綁定的自訂網域名配置證書托管,已開啟CDN時在CDN控制台為CDN加速網域名稱配置HTTPS证书。生產環境建議通過Bucket Policy強制HTTPS訪問,拒絕所有HTTP請求。阿里雲SSL認證支援開啟認證託管實現自動續期。詳情請參見通過HTTPS協議訪問OSS。
PrivateLink私網串連
PrivateLink在VPC內部建立指向OSS的專屬私人終端節點,訪問流量全程在阿里雲骨幹網路內傳輸,不經過公網。相比OSS預設的內網訪問網域名稱,PrivateLink提供更進階別的安全隔離:
能力 | 內網訪問網域名稱 | PrivateLink |
攻擊面 | 公用服務入口,暴露給所有VPC | 入口在VPC內部,其他VPC無法發現和訪問 |
網路層控制 | 無法通過安全性群組控制 | 支援綁定安全性群組,精確控制源IP訪問 |
審計能力 | 僅記錄成功請求 | 支援VPC流日誌,審計所有串連嘗試 |
IP規劃 | 佔用100.64.0.0/10網段,可能與本地IDC衝突 | 使用VPC網段內IP,遵循自訂IP規劃 |
支援通過SSL-VPN或Express Connect專線將本地裝置/資料中心接入VPC,再通過PrivateLink訪問OSS。詳情請參見通過PrivateLink私網訪問OSS。
防盜鏈
當OSS資源被其他網站盜鏈導致流量費用激增時,可通過配置Referer黑白名單限制資源的訪問來源。OSS按照的優先順序順序執行存取控制。防盜鏈僅對匿名訪問和簽名URL訪問生效,使用AccessKey簽名的API調用不受限制。若OSS配置了CDN加速,需在CDN層面同步配置防盜鏈規則,否則盜鏈請求可能命中CDN緩衝繞過驗證。詳情請參見防盜鏈。
專用接入
ECS反向 Proxy
OSS通過DNS解析提供的IP地址是動態變化的,在需要配置防火牆白名單或進行特定系統整合時,可能導致訪問受限。可在綁定固定公網IP的ECS執行個體上部署Nginx反向 Proxy,將請求轉寄至OSS,實現通過固定IP訪問OSS資源。生產環境建議採用“負載平衡 + 多可用性區域ECS執行個體組”的高可用架構。詳情請參見通過ECS反向 Proxy訪問OSS。
存取點
存取點(Access Point)為Bucket提供獨立的訪問入口。當一個Bucket需要被多個應用或團隊以不同許可權訪問時,可為每個訪問方建立獨立的存取點,通過存取點策略(AP Policy)分別管理各自的許可權,避免在單一Bucket Policy中維護複雜的許可權規則。每個存取點擁有獨立的別名、存取原則和網路來源配置(互連網或指定VPC),支援與RAM Policy、Bucket Policy形成三層策略聯合鑒權。詳情請參見存取點。
Web應用
靜態網站託管
OSS支援將Bucket中的靜態檔案(HTML、CSS、JavaScript等)直接發布為公開訪問的網站,無需維護伺服器。支援配置預設首頁、子目錄首頁和自訂404錯誤頁,同時支援SPA單頁應用的路由託管(將404頁設為index.html、錯誤響應碼設為200)。詳情請參見靜態網站託管。
使用OSS Bucket網域名稱訪問HTML檔案時瀏覽器會強制下載,需綁定自訂網域名才能實現網頁正常瀏覽。
跨網域設定
當網站載入OSS資源時瀏覽器報blocked by CORS policy錯誤,是因為瀏覽器的同源策略限制了跨域資源訪問。通過為Bucket配置CORS規則(來源、允許 Methods、允許 Headers等),可授權指定網站跨域訪問OSS資源。使用多個來源或萬用字元時需開啟返回 Vary: Origin避免緩衝汙染;若Bucket開啟了CDN加速,需在CDN控制台配置跨域規則或透傳OSS的CORS回應標頭。詳情請參見跨網域設定。
常見問題
如何使用不帶簽名的長期有效URL訪問OSS檔案?
有以下兩種方式:
通過CDN加速訪問OSS:保持檔案許可權為私人,開啟CDN的私人Bucket回源功能提供公用讀取訪問。CDN提供更好的訪問效能和緩衝能力,需在CDN層面配置防盜鏈規則防止資源被盜用。
上傳或下載檔案時速度很慢,怎麼辦?
OSS傳輸速度主要受用戶端網路頻寬、鏈路品質和傳輸策略影響,可從以下方面排查和最佳化:
訪問時出現網路錯誤(如解析失敗、連線逾時)如何排查?
如請求已到達OSS(響應中含Request ID),擷取Request ID後使用OSS自助診斷工具檢測即可。
如請求未到達OSS(Request ID為空白),按錯誤類型排查:
錯誤類型 | 常見原因 | 處理方式 |
Connection refused | 連接埠不通,或跨地區使用了內網Endpoint | 改用正確的外網Endpoint,通過 |
ConnectionTimeOut | 網路環境不佳或逾時設定過短 | 增大SDK連線逾時和讀取逾時,開啟失敗重傳機制;大檔案使用分區上傳和斷點續傳上傳提升穩定性;考慮使用CDN加速或傳輸加速 |
Socket timeout / closed | 連線逾時或被異常關閉 | 增大SDK中Socket逾時配置(如Java SDK的 |
Connection reset | Endpoint配置錯誤、Bucket被安全限制等 | 依次排查:1. |