文档

联合云企业网访问OSS云服务

更新时间:

本教程将指导您如何使用智能接入网关(SAG)联合云企业网产品,将本地用户接入阿里云进而通过内网访问阿里云OSS云服务。

前提条件

背景信息

云服务指使用阿里云云服务地址段100.64.0.0/10提供服务的云产品,例如对象存储(OSS)、日志服务(SLS)、数据传输服务(DTS)等。您可以通过智能接入网关将本地用户接入阿里云,进而通过云企业网访问云服务。

阿里云对象存储OSS(Object Storage Service)是阿里云提供的海量、安全、低成本、高可靠的云存储服务。OSS支持通过内网地址访问OSS资源,内网指的是阿里云同地域产品之间的内部通信网络。当您通过OSS内网地址访问OSS资源时,不收取流量费用。本教程以下图场景例,为您介绍如何将企业本地用户接入上云并能通过内网访问OSS云服务。某企业已经在阿里云上海地域创建了VPC,现在该企业计划在阿里云上海地域开通OSS服务,用于存储一些企业非机密数据资料,方便员工通过内网直接下载浏览。在满足需求又减少开支的基础上,企业计划通过智能接入网关App产品将员工接入阿里云。

image

配置流程

image

步骤一:部署OSS云服务

部署OSS有多种方式,本教程以控制台方式为您展示如何部署OSS服务。关于OSS更多详情请参见什么是对象存储OSS

  1. 开通OSS云服务。详情请参见开通OSS服务

  2. 创建存储空间。

    1. 登录OSS管理控制台

    2. 在左侧导航栏单击Bucket列表,之后单击创建Bucket

    3. 创建Bucket页面配置Bucket参数,然后点击完成创建

      以下为本教程的参数示例,请根据您的存储需求选择合适的参数,更多参数说明请参见创建存储空间

      参数

      说明

      Bucket名称

      填写Bucket名称。Bucket创建后,无法更改名称。本示例输入shosstest

      地域

      Bucket的数据中心。Bucket创建后,无法更换地域。本示例选择华东2(上海)

      存储类型

      Bucket的存储类型。本示例选择标准存储

      标准存储提供高可靠、高可用、高性能的对象存储服务,能够支持频繁的数据访问。适用于各种社交、分享类的图片、音视频应用、大型网站、大数据分析等业务场景。更多存储类型说明请参见存储类型概述

      储存冗余类型

      Bucket的数据容灾类型。

      • 本地冗余存储

        采用单可用区(AZ)内的数据冗余存储机制,将用户的数据冗余存储在同一个可用区内多个设施的多个设备上,确保硬件失效时的数据持久性和可用性。

      • 同城冗余存储

        采用多可用区(AZ)内的数据冗余存储机制,将用户的数据冗余存储在同一地域(Region)的多个可用区。当某个可用区不可用时,仍然能够保障数据的正常访问。

      重要

      华南1(深圳)、华北2(北京)、华东1(杭州)、华东2(上海)、中国香港、新加坡以及印度尼西亚(雅加达)地域支持开启同城冗余存储。此外,同城冗余存储的费用较高,且开启后不支持关闭,请谨慎操作。

      本示例选择本地冗余存储

      读写权限

      选择Bucket的读写权限。本示例选择私有

      只有该存储空间的拥有者可以对该存储空间内的文件进行读写操作,其他人无法访问该存储空间内的文件。

      版本控制

      选择是否开通版本控制功能。本示例选择开通

      开通Bucket版本控制功能后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。当您在错误覆盖或者删除Object后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。更多详情请参见版本控制概述

      服务端加密方式

      选择是否增加服务端加密设置。本示例选择

      实时日志查询

      选择是否开通OSS实时日志查询。本示例选择不开通

      定时备份

      如果您希望定时备份您的OSS数据,请开通定时备份。此时,OSS将自动创建备份计划,并由云备份(Cloud Backup)执行备份频率为每天备份一次OSS数据,备份文件保存一周的任务。本示例选择不开通

  3. 上传对象。

    1. 在左侧导航栏单击Bucket 列表,然后Bucket 名称列单击目标Bucket名称。

    2. 在左侧导航栏,选择文件管理 > 文件列表

    3. 单击上传文件

    4. 在上传文件页面,设置上传文件的参数。

      • 上传到:设置文件上传到OSS后的存储路径。本示例选择默认路径。

      • 文件ACL:选择文件的读写权限,默认为继承Bucket。本示例保持默认值。

      • 待上传文件:选择您需要上传的文件或文件夹。您可以单击扫描文件扫描文件夹选择本地文件或文件夹,或者直接拖拽目标文件或文件夹到待上传文件区域。如果上传文件夹中包含了无需上传的文件,请单击目标文件右侧的移除将其移出文件列表。

    5. 单击上传文件任务列表页面等待上传成功,之后关闭任务列表面板。

  4. 设置对象权限。

    为了数据安全,本示例已将OSS资源设置为私有状态。因此需要为相关用户进行访问授权,允许指定用户访问指定OSS资源。以下为本示例操作,对企业某一图片资源设置为允许所有用户拥有只读权限。请您根据自身访问需求进行设置,更多详情请参见通过Bucket Policy授权用户访问指定资源

    1. 在左侧导航栏单击Bucket 列表,然后Bucket 名称列单击目标Bucket名称。

    2. 在左侧导航栏,选择文件管理 > 文件列表

    3. 单击授权

    4. 授权页面,单击新增授权

    5. 新增授权面板,设置以下项目后单击确定

      • 授权资源:本示例选择指定资源

      • 资源路径:本示例输入SHOSS.jpg

      • 授权用户:本示例选择所有账号(*)

      • 授权操作:本示例选择只读(不包含ListObject操作)

      image

步骤二:本地用户接入上云

您需要在智能接入网关控制台购买智能接入网关App产品,并进行网络配置、创建客户端账号等操作。配置完成后,本地用户便可以通过阿里云网络客户端连接内网,接入阿里云。

  1. 购买智能接入网关App。

    1. 登录智能接入网关管理控制台

    2. 在左侧导航栏,选择智能接入网关App > App实例管理

    3. 智能接入网关App页面,单击创建智能接入网关App,根据以下信息进行购买配置。

      • 区域:智能接入网关客户端使用地域。本示例选择华东2(上海)

      • 每月活跃终端数量:客户端账号数规格,购买后可创建相应数量的账号,一般为每个需要登录的本地用户创建一个账号。本示例保持默认值10。

        说明

        系统默认支持购买1~2000个客户端,不同账号数规格按阶梯计费,具体请参见SAG App计费说明

      • 每账号流量套餐:每个账号每月赠送的流量套餐规格,赠送的流量多个账号间不可共享,不支持结算到次月。默认为5 GB/月。

      • 超套计费方式:每个账号实际使用流量超过赠送的流量套餐后,超出的部分按流量后付费。

      • 购买时长:每个账号下套餐的使用时长,按月计算,支持自动续费。本示例保持默认值1个月。

    4. 单击立即购买,确认订单后,完成支付。

  2. 网络配置。

    购买智能接入网关App实例后,您需要为实例进行网络配置,指定客户端私网网段和要绑定的云连接网(CCN)。

    云连接网是智能接入网关的一个重要组成部分,将智能接入网关App实例绑定到云连接网后,实例所关联的本地用户便可通过云连接网接入阿里云。云连接网更多详情请参见云连接网介绍

    1. 智能接入网关App页面,找到已创建的实例,单击目标实例操作列的快捷配置

    2. 快捷配置页面,进行网络配置。

      • 云连接网ID/名称:您可通过以下两种方式选择要绑定的云连接网。本示例选择新建云连接网

        • 选择现有云连接网:如果您已经创建了云连接网,您可以单击下方文本框,选择已创建的云连接网实例进行绑定。

        • 新建云连接网:如果您未创建过云连接网,您可以在下方文本框中,输入云连接网实例名称,系统会为您在本地域新建云连接网实例并自动进行绑定。

      • 可选:主备DNS:非必填参数。您可以自定义智能接入网关App实例客户端连接私网时使用的主备DNS配置。在您配置DNS后,系统会自动向客户端推送DNS配置。本示例无需填写。

      • 私网网段:配置客户端接入阿里云时使用的私网网段,客户端接入时系统会自动从私网网段内为其分配可用的IP地址,需要确保各私网网段不冲突。 本示例输入192.168.10.0/24。

  3. 配置云企业网。

    此处需要进行云企业网绑定操作,绑定后,云连接网实例自动被加载到云企业网实例中。智能接入网关App实例所关联的本地用户便可通过云企业网访问OSS云服务。

    1. 单击下一步:配置云企业网(可选),进行云企业网绑定操作。

    2. 您可以通过以下两种方式绑定云企业网,本示例选择现有CEN进行绑定,以便客户端与云上资源互通。本示例选择现有CEN,选择已创建的云企业网实例。

      • 选择现有CEN:如果您已经创建了云企业网,您可以单击下方文本框,选择已创建的云企业网实例进行绑定。

      • 新建CEN:如果您未创建过云企业网,您可以在下方文本框中,输入云企业网实例名称,系统会为您新建云企业网实例并自动进行绑定。

  4. 创建客户端账号。

    网络配置完成后,您还需要创建客户端账号,本地用户可以通过已创建的客户端账号信息登录客户端,进而连接内网。

    1. 单击下一步:创建客户端账号,进行客户端账号配置。

      • 用户名:非必填参数。

        说明
        • 同一智能接入网关App实例下各客户端用户名不能重复,必须保证同一实例下客户端用户名的唯一性。

        • 在创建客户端过程中,若您只输入邮箱信息,客户端成功创建后,系统将自动生成用户名及密码,其中系统将以邮箱地址作为用户名。

      • 邮箱地址:此参数必填。普通用户的邮箱地址,用于管理员向普通用户发送登录客户端的账号信息。

      • 是否固定IP

        • 如果开启,需要设置客户端的IP地址。当前账号始终以此IP地址接入阿里云。

          说明

          设置的客户端的IP地址必须在私网网段内。

        • 如果关闭,系统自动从私网网段内分配可用IP地址,每次重连IP地址都会重新分配。

      • 设置带宽峰值:当前账号可以使用的带宽峰值。本示例使用默认值。

        可设置带宽范围为1 Kbps~2000 Kbps,默认为2000 Kbps。

      • 设置密码:非必填参数。设置登录客户端时的密码。

    2. 单击确定创建

      重要
      • 如果系统未创建跨地域连接,请在VPC实例所属地域的转发路由器与中国内地云连接网转发路由器之间创建跨地域连接。具体操作,请参见跨地域连接

      • 如果系统已创建跨地域连接,请继续参见后续步骤执行。

  5. 客户端连接上云。

    1. 配置完成后,单击立即去下载客户端,在帮助页面查看如何安装下载客户端。详情请参见安装客户端

    2. 客户端安装完成后,员工可通过账号密码登录客户端,然后连接内网。详情请参见连接内网

    iwEcAqNqcGcDAQTRBJIF0QbMBrAR134e89fkNwXd-fsJcLIAB9MAAAAA8-RT9wgACaJpbQoAC9IAAbf0

步骤三:配置云服务访问

您需要在云企业网平台配置云服务并添加云服务路由。配置完成后,云企业网便可将已加载的云连接网实例所在的网络和OSS云服务网络打通,本地用户便可通过云企业网访问OSS云服务。

  1. 登录云企业网管理控制台

  2. 单击已创建目标云企业网实例ID。

  3. 基本信息 > 转发路由器页签,根据云服务部署的地域,单击该地域的转发路由器ID。

  4. 在转发路由器详情页面,单击转发路由器路由表页签。

  5. 转发路由器路由表页签的左侧区域选择目标路由表,在路由表详情区域的路由条目页签下,单击创建路由条目

  6. 添加路由条目对话框,根据以下信息进行配置,然后单击确定

    配置项

    说明

    路由表

    系统默认选择当前路由表。

    所属转发路由器

    系统默认选择当前转发路由器实例。

    路由条目名称

    输入路由条目的名称。

    目的地址CIDR

    输入云服务提供服务的地址或地址段。

    例如:输入华东2(上海)地域OSS提供服务的地址段

    • 100.98.35.0/24

    • 100.98.110.0/24

    • 100.98.169.0/24

    • 100.118.102.0/24

    说明

    建议将上海地域所有网段都添加到路由条目当中。

    是否为黑洞路由

    选择是否将该路由置为黑洞路由。取值:

    • :表示该路由为黑洞路由,所有去往该路由的流量均会被丢弃。

    • :表示该路由不为黑洞路由,需要您设置路由的下一跳连接。

    本文需选择

    下一跳连接

    选择路由条目的下一跳连接。

    选择已连接至转发路由器的VPC实例的连接ID。

    路由条目描述

    输入路由条目的描述信息。

步骤四:访问测试

完成上述配置后,本地用户可通过阿里云客户端连接内网,然后尝试访问云上OSS资源。

例如:在浏览器中,通过内网链接https://shosstest.oss-cn-shanghai-internal.aliyuncs.com/SHOSS.jpg下载之前已上传的图片SHOSS.jpg

  • 查找文件的访问地址规则如下:https://bucket名称.VPC网络Endpoint地址/要查看的文件名

  • 查看地域对应的VPC网络Endpoint地址请参见:OSS内网域名与VIP网段对照表