Object Storage Service：通過自訂網域名訪問OSS

• 常規訪問：綁定網域名稱至外網訪問網域名稱

• 跨國或遠距離加速：綁定網域名稱至傳輸加速網域名稱

步驟一：綁定網域名稱至Bucket

1. 前往Bucket列表，單擊目標Bucket名稱，然後在Bucket左側功能表列單擊Bucket配置 > 網域名稱管理。

2. 單擊綁定網域名稱，輸入需要綁定的網域名稱，如oss-example.cn，系統將自動檢測是否滿足綁定條件。

   

3. 檢測通過後，將網域名稱綁定至Bucket。

   直接綁定

   網域名稱屬於當前賬戶時，可直接進行綁定。單擊確認綁定，將網域名稱綁定至Bucket。

   

   驗證網域名稱所有權並綁定

   網域名稱屬於其他阿里雲賬戶或其他網域名稱服務 (DNS)商時，需要先驗證網域名稱所有權才能進行綁定。以下操作以其他阿里雲賬戶為例說明網域名稱所有權驗證並綁定的完整流程。

   1. 使用網域名稱歸屬的阿里雲帳號登入Alibaba Cloud DNS控制台，單擊目標網域名稱操作列的解析設定。

   2. 單擊添加記錄，按照下方配置列表填寫記錄資訊，其餘配置項可保持預設設定。

      • 記錄類型：選擇TXT。

      • 主機記錄：填寫OSS控制台顯示的主機記錄，如_dnsauth，如果綁定的是子網域名稱，還需要加上子網域名稱首碼，如綁定image.oss-example.cn，則主機記錄填寫_dnsauth.image。

      • 記錄值：填寫OSS控制台顯示的記錄值，如21a0****************************。

   3. 單擊確定，然後在彈出的解析變更確認視窗，再次單擊確定。

   4. 返回OSS控制台，單擊驗證網域名稱所有權並綁定，將網域名稱綁定至Bucket。網域名稱解析記錄添加後需要一段時間才會生效，如果頁面報錯，請等待幾分鐘後重試。

   說明

   TXT記錄用於驗證對網域名稱的所有權，驗證成功後即可刪除，不影響後續使用。

步驟二：配置CNAME指向外網訪問網域名稱

將網域名稱綁定至Bucket後，自訂網域名尚未生效，需要配置CNAME解析記錄將自訂網域名指向外網訪問網域名稱，使自訂網域名生效。

步驟三：驗證自訂網域名訪問

完成網域名稱綁定和解析配置後，可根據Bucket的讀寫權限設定選擇相應的驗證方式。

步驟一：綁定網域名稱至Bucket

1. 前往Bucket列表，單擊目標Bucket名稱，然後在Bucket左側功能表列單擊Bucket配置 > 網域名稱管理。

2. 單擊綁定網域名稱，輸入需要綁定的網域名稱，如oss-example.cn，系統將自動檢測是否滿足綁定條件。

   

3. 檢測通過後，將網域名稱綁定至Bucket。

   直接綁定

   網域名稱屬於當前賬戶時，可直接進行綁定。單擊確認綁定，將網域名稱綁定至Bucket。

   

   驗證網域名稱所有權並綁定

   網域名稱屬於其他阿里雲賬戶或其他網域名稱服務 (DNS)商時，需要先驗證網域名稱所有權才能進行綁定。以下操作以其他阿里雲賬戶為例說明網域名稱所有權驗證並綁定的完整流程。

   1. 使用網域名稱歸屬的阿里雲帳號登入Alibaba Cloud DNS控制台，單擊目標網域名稱操作列的解析設定。

   2. 單擊添加記錄，按照下方配置列表填寫記錄資訊，其餘配置項可保持預設設定。

      • 記錄類型：選擇TXT。

      • 主機記錄：填寫OSS控制台顯示的主機記錄，如_dnsauth，如果綁定的是子網域名稱，還需要加上子網域名稱首碼，如綁定image.oss-example.cn，則主機記錄填寫_dnsauth.image。

      • 記錄值：填寫OSS控制台顯示的記錄值，如21a0****************************。

   3. 單擊確定，然後在彈出的解析變更確認視窗，再次單擊確定。

   4. 返回OSS控制台，單擊驗證網域名稱所有權並綁定，將網域名稱綁定至Bucket。網域名稱解析記錄添加後需要一段時間才會生效，如果頁面報錯，請等待幾分鐘後重試。

   說明

   TXT記錄用於驗證對網域名稱的所有權，驗證成功後即可刪除，不影響後續使用。

步驟二：開啟傳輸加速功能

1. 前往Bucket列表，單擊目標Bucket名稱，然後在Bucket左側功能表列單擊Bucket配置 > 傳輸加速。

2. 啟用開啟傳輸加速，在彈出的對話方塊中仔細閱讀開通提示，然後單擊確定。

3. 複製傳輸加速訪問網域名稱。

步驟三：配置CNAME指向傳輸加速網域名稱

以下操作以阿里雲Alibaba Cloud DNS為例說明CNAME解析記錄的配置方法。

1. 使用網域名稱歸屬的阿里雲帳號登入Alibaba Cloud DNS控制台，單擊目標網域名稱操作列的解析設定。

2. 單擊添加記錄，按照下方配置列表填寫記錄資訊，其餘配置項可保持預設設定。

   說明

   如果已存在CNAME解析記錄，請單擊解析記錄操作列的修改，將記錄值修改為傳輸加速訪問網域名稱。

   • 記錄類型：選擇CNAME。

   • 主機記錄：如果綁定的是主網域名稱，填寫@，如果綁定的是子網域名稱，填寫子網域名稱首碼，如綁定image.oss-example.cn，則主機記錄填寫image。

   • 記錄值：填寫傳輸加速訪問網域名稱。

3. 單擊確定，然後在彈出的解析變更確認視窗，再次單擊確定，完成網域名稱解析配置。

步驟四：驗證自訂網域名訪問

完成網域名稱綁定和解析配置後，可根據Bucket的讀寫權限設定選擇相應的驗證方式。

最佳實務

• 安全傳輸：啟用HTTPS

  為自訂網域名配置SSL認證，強制使用HTTPS訪問。HTTPS協議通過TLS/SSL加密傳輸資料，防止資料在傳輸過程中被竊取或篡改，避免瀏覽器顯示不安全警告，提升使用者信任度和品牌形象。

• 跨域訪問：配置CORS規則

  當前端應用（如部署在https://web.example.cn）需要訪問OSS資源（如https://oss.example.cn）時，必須配置CORS跨域規則，允許來自應用網域名稱的跨域請求。CORS規則通過HTTP頭控制跨域存取權限，確保前端應用正常訪問OSS資源，同時防止未授權的跨域請求。

• 平滑上線：零停機網域名稱切換

  當需要將Bucket網域名稱切換到綁定的自訂網域名時，採用以下分階段切換策略可避免服務中斷，確保商務持續性。

  1. 準備階段：將自訂網域名綁定至Bucket並完成CNAME解析規則設定。在測試環境中，使用hosts檔案或測試網域名稱完整驗證新配置的自訂網域名功能和效能，確保所有功能正常運行。

  2. 灰階發布階段（建議在業務低峰期）：採用灰階發布的方式將部分業務流量切換至自訂網域名，通過逐步放量降低切換風險。

  3. 驗證階段：密切監控業務訪問日誌和錯誤率，分析回應時間、成功率等關鍵計量，確保灰階發布服務正常且業務運行平穩。

  4. 全量發布階段：經過充分驗證後，將全量業務流量切換至自訂網域名，完成網域名稱遷移。

  5. 復原預案：如遇問題，立即復原至Bucket網域名稱，並詳細分析問題根因後重新部署。

• 效能與安全：通過子網域名稱隔離用途

  根據不同業務用途分配不同子網域名稱，如網頁靜態資源使用static.example.com，圖片資源使用images.example.com。通過網域名稱隔離實現瀏覽器並發串連數最佳化（繞過單網域名稱並發限制）、獨立緩衝策略配置、精微調權限控制和安全性原則部署，提升訪問速度並增強整體安全性。

• 功能擴充：託管靜態網站

  如果目標是利用OSS託管完整的靜態網站（包含HTML、CSS、JS等檔案），在綁定自訂網域名後，還需進一步配置靜態網站託管功能，實現預設首頁、404錯誤頁面等網站基礎功能。

• 效能最佳化：配置CDN加速

  對於需要向全球使用者分發靜態資源的情境，建議在自訂網域名的基礎上，進一步配置CDN加速服務，通過全球分布的邊緣節點緩衝內容，獲得更低的訪問延遲、更高的並發能力和更優的使用者體驗。

風險防範

• 流量盜用防護：配置Referer防盜鏈

  為防止圖片、視頻等資源被其他網站盜用，產生不必要的流量費用和頻寬消耗，請使用防盜鏈策略避免非法流量盜用。通過白名單機制限制訪問來源，有效控製成本並保護資源不被濫用。

• 行為審計與排障：啟用訪問日誌

  啟用OSS即時日誌查詢，記錄所有訪問請求的詳細資料，包括訪問時間、來源IP、請求類型、響應狀態等，便於安全審計、效能分析、異常排查和業務營運決策支援。

通過API綁定網域名稱時返回NeedVerifyDomainOwnership錯誤怎麼辦？

此錯誤明確指出未驗證網域名稱所有權。可通過以下方式驗證網域名稱所有權：

1. 調用CreateCnameToken介面建立網域名稱所有權驗證所需的CnameToken。

   說明

   CnameToken預設在建立完成後72小時內到期。如果在到期時間內重複建立，則返回已存在的CnameToken。

2. 參照前述文檔說明，在網域名稱服務 (DNS)供應商處配置TXT記錄完成網域名稱所有權驗證。

3. 調用PutCname介面綁定自訂網域名。

通過加速網域名稱訪問時返回 502 或 504 錯誤怎麼辦？

此問題通常是OSS傳輸加速的自動路徑切換機制導致的正常現象。為應對遠距離傳輸中的網路波動和鏈路品質變化，該服務會動態選擇最優傳輸路徑，在路徑切換瞬間可能導致少量請求中斷並返回502/504錯誤。這種情況無法完全避免，建議在用戶端代碼中實現指數退避的重試邏輯來提升訪問成功率。

訪問時出現網路錯誤（如解析失敗、連線逾時）如何排查？

如果請求OSS時收到了響應，只需擷取Request ID，開啟OSS自助診斷工具進行問題診斷檢測即可。

如果請求沒有到達OSS伺服器就發生了中斷，即Request ID為空白，可按以下步驟排查：

• Connection refused：此錯誤通常表示用戶端與OSS同地區但連接埠不通，或跨地區使用了內網Endpoint。請檢查並使用正確的外網Endpoint訪問，同時使用ping和telnet命令檢查用戶端防火牆設定或網路連通性限制。

• ConnectionTimeOut：通常由網路環境不佳或逾時設定過短導致。建議適當增大SDK中的連線逾時和讀取逾時時間並開啟失敗重傳機制。對於大檔案傳輸，應使用分區上傳和斷點續傳上傳提升傳輸穩定性。若為網路鏈路問題，可考慮使用CDN或OSS傳輸加速服務。

• Socket timeout or Socket closed：表示與OSS的連線逾時或被異常關閉。請在SDK配置中增大Socket逾時時間（例如Java SDK的ClientConfiguration.setSocketTimeout方法）。

• Connection reset：串連被重設的原因多樣（如Endpoint配置錯誤、Bucket因安全原因被限制訪問等）。請依次排查：

  1. 使用ping或阿里崑崙診斷工具檢查用戶端網路連通性是否正常。

  2. 確認代碼中配置的Endpoint準確無誤且包含正確的協議頭（http://或https://）。

  3. 確認Bucket未因安全攻擊或違規內容被置入OSS沙箱限制訪問狀態。

  4. 若問題依舊，請使用Wireshark等工具抓包後聯絡支援人員進行深入排查。

OSS上傳或下載檔案時速度很慢，怎麼辦？

OSS的傳輸速度主要受用戶端本網頻寬、網路鏈路品質和傳輸策略配置影響。

• 通用排查：首先，確認當前頻寬使用未達到Bucket的頻寬節流設定上限。其次，使用MTR工具進行網路鏈路分析檢查是否存在丟包、高延遲或路由異常。對於跨國或遠距離傳輸情境，強烈建議開啟並使用傳輸加速服務最佳化網路路徑。

• 工具最佳化：推薦使用命令列工具ossutil 2.0進行大檔案或大量檔案的傳輸。使用其probe命令可檢測當前網路狀態。

• SDK最佳化：對於大檔案，務必使用分區上傳和斷點續傳上傳功能，併合理配置分區大小part_size和並發線程數num_threads。在網路情況良好時，可適當增大分區大小以減少請求次數。此外，在初始化SDK用戶端時關閉CRC64校正（如Python中設定enable_crc=False），並在要求標頭中增加Content-MD5進行資料完整性校正，可在保證資料安全的前提下提升傳輸效能。

如何控制通過自訂網域名訪問檔案時的預覽或下載行為？

檔案的預覽或下載行為由HTTP回應標頭Content-Disposition決定。核心機制在於：使用OSS Bucket網域名稱訪問時，OSS會為安全起見強制添加Content-Disposition: attachment下載頭；而通過自訂網域名訪問時，OSS則不會添加此頭，從而使行為變得可控。

• 實現預覽：確保檔案中繼資料中沒有設定Content-Disposition: attachment並確保檔案的Content-Type（MIME類型）正確匹配檔案格式。對於瀏覽器原生不支援預覽的檔案格式，可通過以下方式擴充預覽能力：

  • 對於.doc、.ppt、.pdf等辦公檔案，整合WebOffice線上預覽服務實現文檔預覽。

  • 對於.mov等特殊格式視頻檔案，使用視頻轉碼服務轉換為Web相容格式後實現預覽。

  • 安裝對應檔案類型的瀏覽器預覽外掛程式。

• 強制下載：為檔案的中繼資料手動設定Content-Disposition為attachment，瀏覽器將忽略預覽嘗試並直接下載檔案。

  說明

  <video>或<audio>標籤會優先播放媒體，可能會忽略attachment的下載建議。

綁定網域名稱時校正失敗，提示網域名稱綁定在其他Bucket上怎麼辦？

遇到網域名稱已被其他Bucket綁定的情況，可採用以下兩種解決方案：

• 為當前業務使用一個新的子網域名稱。如子網域名稱oss-example.cn已被其他Bucket綁定，可使用static.oss-example.cn等新的子網域名稱進行綁定，通過網域名稱層級實現業務隔離。

• 將網域名稱從原有Bucket解除綁定，再綁定到目標Bucket。解除綁定操作步驟如下：

  1. 如果已開啟CDN加速，需要先修改CDN加速服務的來源站點資訊，使加速網域名稱不再指向OSS的Bucket網域名稱，避免CDN回源失敗。修改方式請參見配置來源站點。

  2. 前往Bucket列表，單擊原有綁定的Bucket名稱，然後在Bucket左側功能表列單擊Bucket配置 > 網域名稱管理。

  3. 在網域名稱列表中單擊目標網域名稱操作列的解除綁定，在彈出的對話方塊中單擊確定，完成網域名稱解除綁定。

為何“網域名稱B CNAME到網域名稱A，網域名稱A再綁定OSS”的方式會訪問失敗？

因為OSS會嚴格校正HTTP要求標頭中的Host欄位，要求其必須與Bucket中實際綁定的網域名稱（網域名稱A）完全一致。當訪問網域名稱B時，Host頭為"網域名稱B"，與綁定網域名稱不匹配導致校正失敗。因此，必須將實際公網訪問的網域名稱（網域名稱B）直接綁定到Bucket，而不能通過網域名稱間的CNAME轉寄實現。

配置完成後訪問自訂網域名無效或仍訪問到舊地址？

這很可能是由於本地及電訊廠商DNS緩衝導致的解析延遲。為提升解析效率，DNS系統各層級節點會依據TTL（Time-To-Live）值將網域名稱解析結果緩衝一段時間。當CNAME記錄變更後，若緩衝尚未到期，訪問請求仍可能被指向舊的地址。請嘗試清除本地DNS緩衝，或等待緩衝自動重新整理後重試。不同作業系統清除本地DNS緩衝的方式如下：

ipconfig /flushdns

 sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

 sudo systemd-resolve --flush-caches

如何使用不帶簽名的長期有效URL訪問OSS檔案？

實現長期有效URL訪問有以下兩種方式：

• 設定檔案為公用讀取：檔案將可被任何人無限制訪問。為防止資源被惡意盜用產生額外費用，務必在OSS中配置防盜鏈策略限制訪問來源。

• 通過CDN加速訪問OSS：保持OSS檔案的許可權為私人，通過開啟CDN的私人Bucket回源功能提供公用讀取訪問。CDN可提供更好的訪問效能和緩衝能力，為防止資源被盜用，需要在CDN層面配置防盜鏈規則。

綁定自訂網域名後，之前的檔案URL是否可以繼續使用？

可以繼續使用。綁定自訂網域名不會影響原有的OSS Bucket網域名稱訪問方式，兩者可以並存。擷取之前的檔案URL方法，請參見使用預簽名URL下載檔案。

使用自訂網域名就是公網訪問嗎？

是的，自訂網域名綁定功能主要用於公網訪問情境，通過解析到Bucket的外網訪問網域名稱實現，以便檔案能在瀏覽器中直接預覽而非強制下載。