儲存空間(Bucket)是Object Storage Service中存放資料的容器,協助您高效組織和管理OSS中的檔案(Object)。本文介紹Bucket的基礎資訊,並提供後續的管理指引。
Bucket特點
容量和數量限制:同一阿里雲帳號在同一地區內建立的Bucket總數不能超過100個,單個Bucket的容量沒有限制。
扁平化結構:Bucket 內部是扁平化結構,沒有檔案系統的目錄層級,所有Object直接儲存在Bucket中,可參考下圖。為便於管理,OSS控制台和OSS Browser等圖形化工具用“/”符號類比目錄層級,但底層仍是扁平儲存,更多資訊,請參見管理目錄。
Bucket基礎資訊
在開始使用Bucket前,請先瞭解以下資訊:
Bucket名稱:在建立Bucket時,首先要為其命名。每個Bucket名稱必須全域唯一且不可修改。建議使用業務相關的名稱,如 myapp-logs-hangzhou,表示“myapp”產品在杭州地區的日誌資訊,便於識別。詳情請參見命名規則。
地區:建立Bucket時需指定資料中心的物理位置,一旦選定無法更改。建議選擇靠近業務的地區以提升訪問速度。詳情請參見如何選擇OSS地區。
Endpoint(訪問網域名稱):用於訪問OSS的入口,每個地區都有對應的Endpoint。使用API、SDK、ossutil或ossfs等方式訪問OSS時,您需要使用Endpoint。詳情請參見OSS地區和訪問網域名稱。
儲存類型:OSS提供五種儲存類型,分別是標準(預設)、低頻、歸檔、冷歸檔和深度冷歸檔,適用於不同儲存需求。根據資料使用情境選擇合適類型可提升訪問速度並降低儲存成本。例如,頻繁訪問的資料可選擇標準類型,而長期儲存的冷資料適合冷歸檔。詳情請參見儲存類型。
儲存冗餘類型:儲存冗餘通過在多個位置備份資料提升資料可靠性。如果您需要更高可靠性,建議選擇同城冗餘(ZRS);如果您更關注成本,建議選擇本地冗餘(LRS),系統預設使用 ZRS。詳情請參見儲存冗餘類型。
重要LRS支援五種儲存類型(標準、低頻、歸檔、冷歸檔和深度冷歸檔),ZRS支援三種儲存類型(標準、低頻和歸檔)。
讀寫權限控制(ACL):您可以通過ACL對整個Bucket及其中的所有Object統一設定讀寫權限,Bucket ACL包括私人(預設)、公用讀取和公用讀寫。建議選擇私人以確保資料安全。更多許可權控制方式請參見許可權控制。
阻止公用訪問:啟用該選項後將忽略Bucket已有的公用存取權限,並禁止建立新的公用存取權限,確保資料私密。此功能預設啟用。詳情請參見阻止公用訪問。
所屬資源群組:您可將Bucket分配至資源群組,以便按部門或專案管理。系統提供預設資源群組供使用。詳情請參見使用資源群組。
操作指引
瞭解Bucket基礎資訊後,現在您可以按需使用並管理Bucket。
Bucket操作
操作 | 說明 |
在上傳Object到OSS之前,您需要建立一個用於隱藏檔的Bucket。 | |
設定不同的列舉條件,列舉某個地區下的全部或部分Bucket。 | |
需要刪除不再使用的Bucket,以釋放儲存資源。 | |
您可以在OSS控制台查看基礎資料、熱點統計、地區和電訊廠商統計、API統計、檔案訪問統計等資源使用方式。 | |
當您在多個地區建立了大量Bucket時,您可以通過指定Bucket名稱的方式,快速擷取Bucket所屬的地區資訊。 | |
如果您在使用Bucket過程中遇到問題,請參考儲存空間常見問題進行排查。 |
Bucket配置
操作 | 說明 |
您可以通過Bucket的標籤功能, 對Bucket進行分類管理,如列舉帶有指定標籤的Bucket、對擁有指定標籤的Bucket設定存取權限等。 | |
檔案(Object)上傳至Bucket後,OSS會自動組建檔案URL,您可以直接通過檔案URL(即Bucket外網訪問網域名稱)訪問該檔案。若您希望通過自訂網域名(自有網域名稱)訪問這些檔案,需要將自訂網域名綁定至檔案所在的Bucket。 | |
OSS傳輸加速利用全球分布的雲機房,將全球各地使用者對您Bucket的訪問,經過智能路由解析至就近的存取點,使用最佳化後的網路及協議,為雲端儲存互連網的上傳、下載提供端到端的加速方案。 | |
如果您在共用資料時不希望承擔訪問資料使用者的額外費用,建議開啟此功能。 | |
資源群組是一種基於資源的許可權管理方式。您可以根據不同的業務需求對Bucket進行分組,為不同的資源群組設定不同的存取權限,實現資源群組範圍內的許可權管理。 |
許可權控制
阿里雲預設使用主帳號執行OSS操作,但主帳號具有完整存取,安全風險較高。建議您建立RAM使用者作為帳號管理員,通過RAM Policy為同一帳號下不同使用者指派許可權。若需跨帳號訪問,您可以用Bucket Policy授予其他帳號對整個Bucket的許可權;若需對Bucket設定公開或私人許可權,您也可以設定Bucket ACL控制整個Bucket 的存取範圍。同時建議您開啟阻止公用訪問,可以有效避免資料的意外公開,進一步增強資料安全性。
功能名稱 | 描述 |
開啟阻止公用訪問後,已有的公用存取權限會被忽略,且不允許建立新的公用存取權限,以此關閉資料的公開訪問渠道,確保資料安全。建立Bucket時預設開啟該功能。 | |
您可以在建立Bucket時設定讀寫權限ACL,也可以在建立Bucket後根據自己的業務需求修改Bucket ACL,該操作只有儲存空間的擁有者可以執行。 | |
Bucket Policy是阿里雲OSS推出的針對Bucket的授權策略,您可以通過Bucket Policy授權其他使用者訪問您指定的OSS資源。 | |
RAM(Resource Access Management)是阿里雲提供的資源存取控制服務。RAM Policy是基於使用者的授權策略。通過設定RAM Policy,您可以集中管理您的使用者(例如員工、系統或應用程式)以及控制使用者可以訪問您名下哪些資源的許可權,例如限制您的使用者只擁有對某一個Bucket的讀許可權。 |
資料安全
操作 | 說明 |
開啟版本控制後,每次上傳同名檔案都會建立一個新版本,而不會覆蓋原檔案。這樣,您可以隨時尋找和恢複之前的版本,適用於頻繁更新或需要保留記錄的檔案。 | |
OSS支援對Bucket設定防盜鏈,即通過對訪問來源設定白名單的機制,避免OSS資源被其他人盜用。 | |
跨網域設定CORS(Cross-Origin Resource Sharing)簡稱跨域訪問,是HTML5提供的標準跨域解決方案,允許Web應用伺服器進行跨域存取控制,確保跨域資料轉送的安全性。 | |
OSS支援WORM特性,允許使用者以“不可刪除、不可篡改”方式儲存和使用資料,符合美國證券交易委員會(SEC)和金融業監管局(FINRA)的合規要求。 | |
當您在設定了伺服器端加密的Bucket中上傳檔案(Object)時,OSS對收到的檔案進行加密,再將得到的加密檔案持久化儲存。當您通過GetObject請求下載檔案時,OSS自動將加密檔案解密後返回給使用者,並在回應標頭中返回x-oss-server-side-encryption,用於聲明該檔案進行了伺服器端加密。 | |
用戶端應用程式與 OSS 間的通訊使用 TLS 進行加密,以確保通訊鏈路的安全性。您可以指定允許的 TLS 版本,作為用戶端和 OSS 間發送和接收請求的嚴格安全措施。 |
資料管理
操作 | 說明 |
同地區複製(Same-Region Replication)是指將源Bucket中的檔案(Object)的建立、更新和刪除等操作自動、非同步(近即時)地複製到相同地區下的目標Bucket。 | |
跨地區複製(Cross-Region Replication)是跨不同OSS資料中心(地區)的Bucket自動、非同步(近即時)複製Object,將Object的建立、更新和刪除等操作從源Bucket複製到不同地區的目標Bucket。 | |
您可以基於最後一次修改時間(Last Modified Time)以及最後一次訪問時間(Last Access Time)的策略建立生命週期規則,定期將儲存空間(Bucket)內的多個檔案(Object)轉儲為指定儲存類型,或者將到期的Object和片段刪除,從而節省儲存費用。 | |
您可以使用Object Storage Service的清單功能擷取Bucket中指定Object的數量、大小、儲存類型、加密狀態等資訊。相對於GetBucket(ListObjects)介面,在海量Object的列舉情境中,建議您優先使用清單功能。 | |
靜態網站是指所有的網頁都由靜態內容構成,包括用戶端執行的指令碼(例如JavaScript)。您可以通過靜態網站託管功能將您的靜態網站託管到OSS的Bucket,並使用Bucket的訪問網域名稱訪問這個網站,詳見綁定自訂網域名。 | |
配置了鏡像回源規則後,當要求者訪問Bucket中一個不存在的Object時,OSS會向回源規則指定的來源站點擷取這個檔案。在擷取到目標檔案後,OSS會將檔案返回給要求者並存入Bucket。 | |
OSS支援為Bucket開啟歸檔直讀。開啟歸檔直讀後,您可以直接存取Archive Storage類型的檔案,而無需先對其解凍。相較於解凍後讀取Archive Storage類型的檔案,歸檔直讀的資料取回時間更短、費用更高。 |
資料處理
操作 | 說明 |
圖片處理包括圖片縮放、自訂裁剪、圖片樣式等。 | |
您可以在OSS管理主控台設定事件通知規則,自訂您關注的Object。當這些Object發生指定事件時,您可以及時收到通知。 |
日誌管理
操作 | 說明 |
訪問OSS的過程中會產生大量的訪問日誌。您可以通過日誌轉存功能將這些日誌按照固定命名規則,以小時為單位組建記錄檔檔案寫入您指定的Bucket。對於已儲存的日誌,您可以通過阿里雲Log Service或搭建Spark叢集等方式進行分析。 | |
即時日誌查詢支援您在OSS控制台即時查詢OSS訪問日誌,並支援過濾和分析,方便定位問題。可按需開通。 |
資料湖管理
操作 | 說明 |
OSS-HDFS服務將Object Storage Service與HadoopDistributed File System(HDFS)結合在一起。通過這個服務,您可以將資料存放區在雲端的OSS中,並使用Hadoop工具來處理和分析這些資料。適用於巨量資料分析、資料採礦和機器學習等需要處理大量資料的情境。 |