本教程将指导您如何使用智能接入网关(SAG)联合云企业网产品,将本地用户接入阿里云进而通过内网访问阿里云OSS云服务。

前提条件

背景信息

云服务指使用阿里云云服务地址段100.64.0.0/10提供服务的云产品,例如对象存储(OSS)、日志服务(SLS)、数据传输服务(DTS)等。您可以通过智能接入网关将本地用户接入阿里云,进而通过云企业网访问云服务。

阿里云对象存储OSS(Object Storage Service)是阿里云提供的海量、安全、低成本、高可靠的云存储服务。OSS支持通过内网地址访问OSS资源,内网指的是阿里云同地域产品之间的内部通信网络。当您通过OSS内网地址访问OSS资源时,不收取流量费用。本教程以下图场景例,为您介绍如何将企业本地用户接入上云并能通过内网访问OSS云服务。某企业已经在阿里云上海地域创建了VPC,现在该企业计划在阿里云上海地域开通OSS服务,用于存储一些企业非机密数据资料,方便员工通过内网直接下载浏览。在满足需求又减少开支的基础上,企业计划通过智能接入网关APP产品将员工接入阿里云。

访问云服务架构图

配置流程

配置流程

步骤一:部署OSS云服务

部署OSS有多种方式,本教程以控制台方式为您展示如何部署OSS服务。关于OSS更多详情请参见什么是对象存储OSS

  1. 开通OSS云服务。详情请参见开通OSS服务
  2. 创建存储空间。
    1. 登录OSS管理控制台
    2. 单击Bucket列表,之后单击创建Bucket
    3. 创建Bucket页面配置Bucket参数。
      以下为本教程的参数示例,请根据您的存储需求选择合适的参数,更多参数说明请参见创建存储空间
      • Bucket名称:Bucket的名称。Bucket创建后,无法更改名称。本示例输入shosstest
      • 区域:Bucket的数据中心。Bucket创建后,无法更换地域。本示例选择华东2(上海)
      • 存储类型:Bucket的存储类型。本示例选择标准存储

        标准存储提供高可靠、高可用、高性能的对象存储服务,能够支持频繁的数据访问。适用于各种社交、分享类的图片、音视频应用、大型网站、大数据分析等业务场景。更多存储类型说明请参见存储类型介绍

      • 同城冗余存储:选择是否开启同城冗余存储。本示例选择关闭

        不开启同城冗余属性,存储在该Bucket内的文件冗余类型为本地冗余。

      • 版本控制:选择是否开通版本控制功能。本示例选择开通

        开通Bucket版本控制功能后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。当您在错误覆盖或者删除Object后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。更多详情请参见版本控制介绍

      • 读写权限:选择Bucket的读写权限。本示例选择私有(private)

        只有该存储空间的拥有者可以对该存储空间内的文件进行读写操作,其他人无法访问该存储空间内的文件。

      • 服务端加密:选择是否增加服务端加密设置。本示例选择
      • 实时日志查询:选择是否开通OSS实时日志查询。本示例选择不开通
      • 定时备份:选择是否创建定时备份计划,使用混合云备份功能备份您的OSS数据。本示例选择不开通
    4. 单击确定
  3. 上传对象。
    1. 在Bucket左侧导航栏,单击文件管理
    2. 单击上传文件
    3. 上传文件页面,设置上传文件的参数。
      • 上传到:设置文件上传到OSS后的存储路径。本示例选择默认路径。
      • 文件ACL:选择文件的读写权限,默认为继承Bucket。本示例保持默认值。
      • 上传文件:将需要上传的一个或多个文件拖拽到此区域,或单击直接上传,选择一个或多个要上传的文件。
    4. 上传任务页面等待任务完成,之后关闭对话框。
  4. 设置对象权限。
    为了数据安全,本示例已将OSS资源设置为私有状态。因此需要为相关用户进行访问授权,允许指定用户访问指定OSS资源。以下为本示例操作,对企业某一图片资源设置为允许所有用户拥有只读权限。请您根据自身访问需求进行设置,更多详情请参见添加Bucket授权策略(Bucket Policy)
    1. 文件管理页面,单击授权
    2. 授权对话框,单击新增授权
    3. 在新增授权页面,设置以下项目后单击确定
      • 授权资源:本示例选择指定资源
      • 资源路径:本示例输入SHOSS.jpg
      • 授权用户:本示例选择匿名账号(*)
      • 授权操作:本示例选择只读
      OSS-图片只读权限

步骤二:本地用户接入上云

您需要在智能接入网关控制台购买智能接入网关APP产品,并进行网络配置、创建客户端账号等操作。配置完成后,本地用户便可以通过阿里云网络客户端连接内网,接入阿里云。

  1. 购买智能接入网关APP。
    1. 登录智能接入网关管理控制台
    2. 在左侧导航栏,单击智能接入网关APP
    3. 智能接入网关APP页面,单击创建智能接入网关APP,根据以下信息进行购买配置。
      • 地域和可用区:智能接入网关客户端使用地域。本示例选择中国内地
      • 客户端账号数量:客户端账号数规格,购买后可创建相应数量的账号,一般为每个需要登录的本地用户创建一个账号。本示例保持默认值10。
        说明 系统默认支持购买5-1000个客户端,不同账号数规格按阶梯计费,具体请参见SAG APP计费说明
      • 每账号流量套餐:每个账号每月赠送的流量套餐规格,赠送的流量多个账号间不可共享,不支持结算到次月。默认为5 GB/月。
      • 超套计费方式:每个账号实际使用流量超过赠送的流量套餐后,超出的部分按流量后付费。
      • 购买时长:每个账号下套餐的使用时长,按月计算,支持自动续费。本示例保持默认值1个月。
    4. 单击立即购买,确认订单后,完成支付。
  2. 网络配置。
    购买智能接入网关APP实例后,您需要为实例进行网络配置,指定客户端私网网段和要绑定的云连接网(CCN)。

    云连接网是智能接入网关的一个重要组成部分,将智能接入网关APP实例绑定到云连接网后,实例所关联的本地用户便可通过云连接网接入阿里云。云连接网更多详情请参见云连接网介绍

    1. 智能接入网关APP页面,找到已创建的实例,单击目标实例操作列的快捷配置
    2. 快捷配置页面,进行网络配置。
      • 云连接网ID/名称:您可通过以下两种方式选择要绑定的云连接网。本示例选择新建CCN
        • 选择现有CCN:如果您已经创建了云连接网,您可以单击下方文本框,选择已创建的云连接网实例进行绑定。
        • 新建CCN:如果您未创建过云连接网,您可以在下方文本框中,输入云连接网实例名称,系统会为您在本地域新建云连接网实例并自动进行绑定。

          云连接网实例名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)或连接号(-)。

      • 可选:主备DNS:非必填参数。您可以自定义智能接入网关APP实例客户端连接私网时使用的主备DNS配置。在您配置DNS后,系统会自动向客户端推送DNS配置。本示例无需填写。
      • 私网网段:配置客户端接入阿里云时使用的私网网段,客户端接入时系统会自动从私网网段内为其分配可用的IP地址,需要确保各私网网段不冲突。 本示例输入192.168.10.0/24。

        单击新增私网网段添加更多网段,最多可配置5个私网网段。

  3. 配置云企业网。
    此处需要进行云企业网绑定操作,绑定后,云连接网实例自动被加载到云企业网实例中。智能接入网关APP实例所关联的本地用户便可通过云企业网访问OSS云服务。
    1. 单击下一步:配置云企业网(可选),进行云企业网绑定操作。
    2. 您可以通过以下两种方式绑定云企业网,本示例选择现有CEN进行绑定,以便客户端与云上资源互通。本示例选择现有CEN,选择已创建的云企业网实例。
      • 选择现有CEN:如果您已经创建了云企业网,您可以单击下方文本框,选择已创建的云企业网实例进行绑定。
      • 新建CEN:如果您未创建过云企业网,您可以在下方文本框中,输入云企业网实例名称,系统会为您新建云企业网实例并自动进行绑定。

        云企业网实例名称长度为2~100个字符,以大小字母或中文开头,可包含数字、下划线(_)或连接号(-)。

  4. 创建客户端账号。
    网络配置完成后,您还需要创建客户端账号,本地用户可以通过已创建的客户端账号信息登录客户端,进而连接内网。
    1. 单击下一步:创建客户端账号,进行客户端账号配置。
      • 用户名:非必填参数。用户名长度为7~33个字符,必须以大小写字母或数字开头,可以包含下划线(_) 、at(@)、英文句点(.)或连接号(-)。
        说明
        • 同一智能接入网关APP实例下各客户端用户名不能重复,必须保证同一实例下客户端用户名的唯一性。
        • 在创建客户端过程中,若您只输入邮箱信息,客户端成功创建后,系统将自动生成用户名及密码,其中系统将以邮箱地址作为用户名。
      • 邮箱地址:此参数必填。普通用户的邮箱地址,用于管理员向普通用户发送登录客户端的账号信息。

        邮箱地址必须包含at(@),邮箱地址长度为2~64个字符,包含大小写字母、数字、下划线(_)、英文句点(.)或连接号(-)。

      • 是否固定IP
        • 如果开启,需要设置客户端的IP地址。当前账号始终以此IP地址接入阿里云。
          说明 设置的客户端的IP地址必须在私网网段内。
        • 如果关闭,系统自动从私网网段内分配可用IP地址,每次重连IP地址都会重新分配。
      • 设置带宽峰值:当前账号可以使用的带宽峰值。本示例使用默认值。

        可设置带宽范围为1 Kbps~2000 Kbps,默认为2000 Kbps。

      • 设置密码:非必填参数。设置登录客户端时的密码。

        密码长度为8~32个字符,必须以大小写字母或数字开头,可以包含下划线(_)或连接号(-)。

    2. 单击确定创建
  5. 客户端连接上云。
    1. 配置完成后,单击立即去下载客户端,在帮助页面查看如何安装下载客户端。详情请参见安装客户端
    2. 客户端安装完成后,员工可通过账号密码登录客户端,然后连接内网。详情请参见连接内网
    连接内网

步骤三:配置云服务访问

您需要在云企业网平台配置云服务并添加云服务路由。配置完成后,云企业网便可将已加载的云连接网实例所在的网络和OSS云服务网络打通,本地用户便可通过云企业网访问OSS云服务。

  1. 登录云企业网管理控制台
  2. 单击已创建目标云企业网实例ID。
  3. 单击云服务页签,然后单击设置云服务
    云服务
  4. 设置云服务页面,配置以下信息。
    • 云服务IP或地址段:输入属于100.64.0.0/10 子网段的OSS云服务IP地址或地址段。本示例输入100.118.102.0/24。

      通常云服务会使用多个地址,请重复此配置过程,添加OSS云服务所有地址的路由。华东2(上海)地域需要添加的OSS云服务网段如下所示:

      • 100.98.35.0/24
      • 100.98.110.0/24
      • 100.98.169.0/24
      • 100.118.102.0/24

      OSS云服务各地域网段详情,请参见VPC网络下Region和Endpoint对照表

    • 服务所在地:选择OSS云服务所在的地域。本示例选择华东2(上海)
    • 服务VPC:选择已加载到云企业网中的VPC网络实例。

      配置完成后,云连接网所关联的网络将以该VPC的身份访问OSS云服务。详情请参见云产品之间的关系

    • 访问所在地:选择目标云连接网,本示例为中国内地云连接网
      说明 请确保访问所在地目标云连接网已经加载到云企业网中。本示例请参见配置云企业网
    • 描述:(可选)输入云服务描述信息。

      描述信息可以为空或填写2~256个字符,必须以中文或者大小写字母开始,可包含数字、连接符(-)、英文句点(.)或下划线(_),不能以http://https://开头。

    OSS-设置云服务
  5. 单击确定

步骤四:访问测试

完成上述配置后,本地用户可通过阿里云客户端连接内网,然后尝试访问云上OSS资源。

例如:在浏览器中,通过内网链接https://shosstest.oss-cn-shanghai-internal.aliyuncs.com/SHOSS.jpg下载之前已上传的图片SHOSS.jpg