You need to enable JavaScript to run this app.
导航

IDC共享云上对象存储服务

最近更新时间2024.01.09 11:48:08

首次发布时间2023.10.16 17:12:57

本文将介绍如何通过私网连接服务将火山引擎对象存储服务共享给本地IDC。

场景介绍

云上VPC或云下IDC通过私网连接服务可以安全地访问云上的对象存储服务(Tinder Object Storage,简称TOS)。
本文为您介绍使用私网连接打通TOS服务时不同场景的的配置指导。

  • 若希望通过私网连接区分服务类型和存储桶对象,请使用接口终端节点泛域名功能。
  • 若希望通过私网连接终端节点控制VPC访问存储桶的范围,请使用网关终端节点。

具体组网场景如下图所示。
alt

前提条件

  • 已创建私有网络VPC、子网及其云服务器,具体操作请参见创建私有网络购买云服务器实例
  • 云下IDC需通过私网连接访问对象存储服务时,请确保已完成云下IDC与云上VPC的打通。请根据连通云下IDC所使用的云服务,选择适当的操作步骤。
  • 如需使用网关终端节点,请确保已获取到待访问私有存储桶的名称。

配置步骤

步骤一:获取终端节点服务名称

终端节点服务由对接私网连接服务的业务方创建,您需要获取终端节点服务的名称,如下表所示。

火山引擎云服务服务名称
对象存储TOScom.volces.privatelink.地域ID.tos-s3

说明

上表服务名称中的地域ID请按需替换。本文中服务名称以com.volces.privatelink.cn-beijing.tos-s3为例进行介绍。

步骤二:创建终端节点

请根据实际需求场景选择适当类型的终端节点。

创建接口终端节点

详细步骤可参见创建接口终端节点,需要注意的参数如下:

  • 类型选择接口。
  • 终端节点服务选择步骤一中获取的名称。

接口终端节点创建成功后,可以在终端节点列表页面查看终端节点域名。

  • 终端节点默认域名格式为:终端节点ID.终端节点服务ID.地域ID.privatelink.volces.com。
  • 终端节点泛域名格式为:*.终端节点ID.终端节点服务ID.地域ID.privatelink.volces.com。

创建网关终端节点

详细步骤可参见创建网关终端节点,需要注意的参数如下:

  • 类型选择网关。

  • 终端节点服务选择步骤一中获取的名称。

  • 访问策略请根据实际需求配置。例如:希望通过私网连接仅可以查看某个私有存储桶及其中的所有对象,则访问策略配置如下:

    { 
    	   "Statement" : [
    	    {
    	       "Effect": "Allow",
    	       "Principal": "210123****", # 终端节点所属账号的ID
    	       "Action":[            # 指定可执行的操作
    	         "tos:ListBuckets",
    	         "tos:ListObject*"
    	       ],
    	       "Resource":[
    	         "trn:tos:::bucketname/*"  # 指定私有存储桶的名称
    	       ]
    	    }
    	  ]
    	}
    	```
    
    
    

步骤三:结果验证

  1. 登录云下IDC或云上VPC中的服务器。

  2. 如果使用接口终端节点,请执行ping命令访问终端节点域名,测试网络连通性。网关终端节点请跳过该步骤。

    注意

    如果接口终端节点启用了泛域名功能,则此处验证时,请注意终端节点域名中的*需替换为任意字符串,也可以直接使用根域名。

  3. 调用API或SDK访问对象存储。
    例如,通过私网连接查看某存储桶中的所有对象,请求参数传入说明如下:

    • 接口终端节点
      • API访问时,Host传入终端节点域名。
        以调用API列举对象为例,请求示例如下所示。
        GET / HTTP/1.1 
        Host: ep-3rf21wq2bsh6o5zsk2ipt****.tos-s3.cn-beijing.privatelink.volces.com  ## 传入终端节点域名
        Date: Fri, 30 Jul 2021 08:05:36 GMT 
        Authorization: authorization string
        
      • SDK访问时,以 Go SDK 为例进行说明:accessKeysecretKey分别传入终端节点所属账号的AK和SK,endpoint传入终端节点域名,region传入终端节点所属地域ID,bucketName传入需要访问的存储桶名称。
    • 网关终端节点
      API或SDK访问时,相关信息均填写对象存储服务的信息,访问已授权的存储桶及操作可正常进行,访问其他未授权的存储桶会报错无权限。