前提条件

已完成阿里云账号注册实名认证金融云认证

背景信息

金融云OSS特性

  • 金融云场景下,创建OSS的Bucket时可选择纯内网的场景(地域选择华东1金融云华东2金融云华南1金融云),也可选择公网场景(地域选择华东1金融云公网华东2金融云公网华南1金融云公网)。
  • 纯内网类型的Bucket仅限于金融云内部访问,与公网是物理隔离的。公网直接访问Bucket时,需要创建公网类型的Bucket对外提供服务。
  • 如果把默认纯内网Bucket的访问权限设置为公共读公共读写,只是在金融云内部可以被其它用户访问,互联网用户不能访问。如果需要,必须由ECS转发,再由SLB提供互联网服务,或直接使用公共云OSS,如下图。


    在金融云中可以通过Nginx转发实现的OSS公网服务,也可利用Apache实现转发服务。

  • 金融云各地域的OSS的Host是:
    • 纯内网访问场景:
      Region中文名 Region英文名 Endpoint地址
      华东1 oss-cn-hzjbp
      • oss-cn-hzjbp-a-internal.aliyuncs.com(内网地址)
      • oss-cn-hzjbp-b-internal.aliyuncs.com(内网地址)
      华东2 oss-cn-shanghai-finance-1 oss-cn-shanghai-finance-1-internal.aliyuncs.com(内网地址)
      华南1 oss-cn-shenzhen-finance-1 oss-cn-shenzhen-finance-1-internal.aliyuncs.com(内网地址)
    • 公网访问场景:
      Region中文名 Region英文名 Endpoint地址
      华东1 oss-cn-hzfinance
      • oss-cn-hzfinance.aliyuncs.com(外网地址)
      • oss-cn-hzfinance-internal.aliyuncs.com(内网地址)
      华东2 oss-cn-shanghai-finance-1-pub
      • oss-cn-shanghai-finance-1-pub.aliyuncs.com(外网地址)
      • oss-cn-shanghai-finance-1-pub-internal.aliyuncs.com(内网地址)
      华南1 oss-cn-szfinance
      • oss-cn-szfinance.aliyuncs.com(外网地址)
      • oss-cn-szfinance-internal.aliyuncs.com(内网地址)
  • 计费规则,按实际存储容量计费,同时是后付费类型。请参见:对象存储 OSS
  • 金融云OSS暂时不支持流量包。

根据经典网络金融云推荐架构,在华东1需要开通OSS。详细的操作步骤如下。

操作步骤

  1. 登录阿里云官网并单击右上方的控制台进入控制台页面。
  2. 创建Bucket。
    1. 在OSS页面的右上方单击新建Bucket
    2. 输入Bucket名称,区域选择华东1 金融云,其他参数根据实际需要配置。
    3. 单击确定
  3. 在OSS页面搜索找到上述步骤创建的Bucket,在Bucket的概览页面可查看Bucket的EndPoint和访问域名。
  4. (可选)配置反向代理。
    如果您创建的Bucket是纯内网使用的Bucket,但是需要可以通过SLB、ECS的反向代理直接由外网访问,请参考以下配置进行反向代理的配置。
    1. 请参考绑定域名操作步骤,将创建的Bucket绑定您的自定义域名。
      说明
      请确保您的自定义域名已在阿里云已经备案,否则您的域名访问会被拦截。
    2. 参考配置SLB,创建一个SLB实例并配置完成80端口监听。
      说明
      如果您需要使用加密的传输方式,需同时配置443端口的监听。
    3. 参考创建ECS实例完成ECS实例创建。
    4. 在ECS上安装Nginx。
      • 如果您使用的ECS操作系统为CentOS,则使用Root用户远程登录后,运行以下命令即可一键安装Nginx。

        yum install -y nginx

      • 如果您的ECS为全新的环境,您也可以安装镜像市场已经安装好nginx环境的镜像。
      • 您也可以在Nginx官网自行下载Nginx安装包,手动安装。
    5. 配置反向代理到OSS。
      1. 执行以下命令进入反向代理配置文件目录。

        cd /etc/nginx/conf.d/

      2. 新建配置文件。
        新建反向代理配置文件,包含以下反向代理配置内容。
        
        upstream ossproxy { 
        server testsample.oss-cn-hzjbp-b-internal.aliyuncs.com;  #OSS的内网地址 
        } 
        
        server { 
        listen 80; 
        server_name oss.testsample.cn;  #ECS网站对外访问的域名 
        
        access_log logs/ossproxy.access.log; 
        error_log logs/ossproxy.error.log; 
        root html; 
        index index.html index.htm index.php; 
        
        location / { 
        proxy_pass http://ossproxy; 
        proxy_redirect off; 
        proxy_set_header Host oss.testsample.cn;  #Host要修改为OSS的域名或OSS控制台绑定的域名,否则OSS无法识别会报错 
        proxy_set_header X-Real-IP $remote_addr; 
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
        proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; 
        proxy_max_temp_file_size 0; 
        proxy_connect_timeout 90; 
        proxy_send_timeout 90; 
        proxy_read_timeout 90; 
        proxy_buffer_size 4k; 
        proxy_buffers 4 32k; 
        proxy_busy_buffers_size 64k; 
        proxy_temp_file_write_size 64k; 
        } 
        } 
        
        
    6. 使用浏览器测试验证通过外网访问OSS,如能正常访问说明反向代理配置正常。
      验证使用的域名如果未配置过域名解析,可参考 ECS Windows 系统 Hosts 文件的作用和位置在您本地的电脑配置Host,将您的自定义域名与需要解析的地址绑定。