本教程將指導您如何使用Smart Access Gateway聯合雲企業網產品,將本機使用者接入阿里雲進而通過內網訪問阿里雲OSS雲端服務。
前提條件
您已經在上海地區建立了Virtual Private Cloud。具體操作,請參見建立和管理專用網路。
您已經建立雲企業網執行個體並綁定了VPC網路執行個體。具體操作,請參見建立雲企業網執行個體和轉寄路由器執行個體以及建立VPC串連。
背景資訊
雲端服務指使用阿里雲雲端服務位址區段100.64.0.0/10提供服務的雲產品,例如Object Storage Service、Log Service(SLS)、Data Transmission Service(DTS)等。您可以通過Smart Access Gateway將本機使用者接入阿里雲,進而通過雲企業網訪問雲端服務。
阿里雲Object Storage Service(Object Storage Service)是阿里雲提供的海量、安全、低成本、高可靠的雲端儲存體服務。OSS支援通過內網地址訪問OSS資源,內網指的是阿里雲同地區產品之間的內部通訊網路。當您通過OSS內網地址訪問OSS資源時,不收取流量費用。本教程以下圖情境例,為您介紹如何將企業本機使用者接入上雲並能通過內網訪問OSS雲端服務。某企業已經在阿里雲上海地區建立了VPC,現在該企業計劃在阿里雲上海地區開通OSS服務,用於儲存一些企業非機密資料資料,方便員工通過內網直接下載瀏覽。在滿足需求又減少開支的基礎上,企業計劃通過Smart Access GatewayApp產品將員工接入阿里雲。
配置流程
步驟一:部署OSS雲端服務
部署OSS有多種方式,本教程以控制台方式為您展示如何部署OSS服務。關於OSS更多詳情請參見什麼是Object Storage Service。
開通OSS雲端服務。詳情請參見開通OSS服務。
建立儲存空間。
登入OSS管理主控台。
在左側導覽列單擊Bucket列表,之後單擊建立Bucket。
在建立Bucket頁面配置Bucket參數,然後點擊完成建立。
以下為本教程的參數樣本,請根據您的儲存需求選擇合適的參數,更多參數說明請參見建立儲存空間。
參數
說明
Bucket名稱
填寫Bucket名稱。Bucket建立後,無法更改名稱。本樣本輸入shosstest。
地區
Bucket的資料中心。Bucket建立後,無法更換地區。本樣本選擇華東2(上海)。
儲存類型
Bucket的儲存類型。本樣本選擇標準儲存。
標準儲存提供高可靠、高可用、高效能的Object Storage Service服務,能夠支援頻繁的資料訪問。適用於各種社交、分享類的圖片、音視頻應用、大型網站、巨量資料分析等業務情境。更多儲存類型說明請參見儲存類型概述。
儲存冗餘類型
Bucket的資料容災類型。
本地備援儲存體
採用單可用性區域(AZ)內的資料冗餘儲存機制,將使用者的資料冗餘儲存在同一個可用性區域內多個設施的多個裝置上,確保硬體失效時的資料持久性和可用性。
同城冗餘儲存
採用多可用性區域(AZ)內的資料冗餘儲存機制,將使用者的資料冗餘儲存在同一地區(Region)的多個可用性區域。當某個可用性區域不可用時,仍然能夠保障資料的正常訪問。
重要華南1(深圳)、華北2(北京)、華東1(杭州)、華東2(上海)、中國香港、新加坡以及印尼(雅加達)地區支援開啟同城冗餘儲存。此外,同城冗餘儲存的費用較高,且開啟後不支援關閉,請謹慎操作。
本樣本選擇本地備援儲存體。
讀寫權限
選擇Bucket的讀寫權限。本樣本選擇私人。
只有該儲存空間的擁有者可以對該儲存空間內的檔案進行讀寫操作,其他人無法訪問該儲存空間內的檔案。
版本控制
選擇是否開通版本控制功能。本樣本選擇開通。
開通Bucket版本控制功能後,針對資料的覆蓋和刪除操作將會以歷史版本的形式儲存下來。當您在錯誤覆蓋或者刪除Object後,能夠將Bucket中儲存的Object恢複至任意時刻的歷史版本。更多詳情請參見版本控制概述。
服務端加密方式
選擇是否增加服務端加密設定。本樣本選擇無。
即時日誌查詢
選擇是否開通OSS即時日誌查詢。本樣本選擇不開通。
定時備份
如果您希望定時備份您的OSS資料,請開通定時備份。此時,OSS將自動建立備份計劃,並由雲備份(Cloud Backup)執行備份頻率為每天備份一次OSS資料,備份檔案儲存一周的任務。本樣本選擇不開通。
上傳對象。
在左側導覽列單擊Bucket 列表,然後Bucket 名稱列單擊目標Bucket名稱。
在左側導覽列,選擇。
單擊上傳檔案。
在上傳檔案頁面,設定上傳檔案的參數。
上傳到:設定檔案上傳到OSS後的儲存路徑。本樣本選擇預設路徑。
檔案ACL:選擇檔案的讀寫權限,預設為繼承Bucket。本樣本保持預設值。
待上傳檔案:選擇您需要上傳的檔案或檔案夾。您可以單擊掃描檔案或掃描檔案夾選擇本地檔案或檔案夾,或者直接拖拽目標檔案或檔案夾到待上傳檔案地區。如果上傳檔案夾中包含了無需上傳的檔案,請單擊目標檔案右側的移除將其移出檔案清單。
單擊上傳檔案在工作清單頁面等待上傳成功,之後關閉工作清單面板。
設定對象許可權。
為了資料安全,本樣本已將OSS資源設定為私人狀態。因此需要為相關使用者進行訪問授權,允許指定使用者訪問指定OSS資源。以下為本樣本操作,對企業某一圖片資源設定為允許所有使用者擁有隻讀許可權。請您根據自身訪問需求進行設定,更多詳情請參見通過Bucket Policy授權使用者訪問指定資源。
在左側導覽列單擊Bucket 列表,然後Bucket 名稱列單擊目標Bucket名稱。
在左側導覽列,選擇。
單擊授權。
在授權頁面,單擊新增授權。
在新增授權面板,設定以下專案後單擊確定。
授權資源:本樣本選擇指定資源。
資源路徑:本樣本輸入SHOSS.jpg。
授權使用者:本樣本選擇所有帳號(*)。
授權操作:本樣本選擇唯讀(不包含ListObject操作)。
步驟二:本機使用者接入上雲
您需要在Smart Access Gateway控制台購買Smart Access GatewayApp產品,並進行網路設定、建立用戶端帳號等操作。配置完成後,本機使用者便可以通過阿里雲網路用戶端串連內網,接入阿里雲。
購買Smart Access GatewayApp。
在左側導覽列,選擇。
在Smart Access GatewayApp頁面,單擊建立Smart Access GatewayApp,根據以下資訊進行購買配置。
地區:Smart Access Gateway用戶端使用地區。本樣本選擇華東2(上海)。
用戶端帳號數量:用戶端帳號數規格,購買後可建立相應數量的帳號,一般為每個需要登入的本機使用者建立一個帳號。本樣本保持預設值10。
說明系統預設支援購買5~1000個用戶端,不同帳號數規格按階梯計費,具體請參見SAG App計費說明。
每帳號通話方案:每個帳號每月贈送的通話方案規格,贈送的流量多個帳號間不可共用,不支援結算到次月。預設為5 GB/月。
超套計費方式:每個帳號實際使用流量超過贈送的通話方案後,超出的部分按流量後付費。
購買時間長度:每個帳號下套餐的使用時間長度,按月計算,支援自動續約。本樣本保持預設值1個月。
單擊立即購買,確認訂單後,完成支付。
網路設定。
購買Smart Access GatewayApp執行個體後,您需要為執行個體進行網路設定,指定用戶端私網網段和要綁定的雲串連網(CCN)。
雲串連網是Smart Access Gateway的一個重要組成部分,將Smart Access GatewayApp執行個體綁定到雲串連網後,執行個體所關聯的本機使用者便可通過雲串連網接入阿里雲。雲串連網更多詳情請參見雲串連網介紹。
在Smart Access GatewayApp頁面,找到已建立的執行個體,單擊目標執行個體操作列的快捷配置。
在快捷配置頁面,進行網路設定。
雲串連網ID/名稱:您可通過以下兩種方式選擇要綁定的雲串連網。本樣本選擇建立雲串連網。
選擇現有雲串連網:如果您已經建立了雲串連網,您可以單擊下方文字框,選擇已建立的雲串連網執行個體進行綁定。
建立雲串連網:如果您未建立過雲串連網,您可以在下方文字框中,輸入雲串連網執行個體名稱,系統會為您在本地區建立雲串連網執行個體並自動進行綁定。
可選:主備DNS:非必填參數。您可以自訂Smart Access GatewayApp執行個體用戶端串連私網時使用的主備DNS配置。在您配置DNS後,系統會自動向用戶端推送DNS配置。本樣本無需填寫。
私網網段:配置用戶端接入阿里雲時使用的私網網段,用戶端接入時系統會自動從私網網段內為其分配可用的IP地址,需要確保各私網網段不衝突。 本樣本輸入192.168.10.0/24。
配置雲企業網。
此處需要進行雲企業網綁定操作,綁定後,雲串連網執行個體自動被載入到雲企業網執行個體中。Smart Access GatewayApp執行個體所關聯的本機使用者便可通過雲企業網訪問OSS雲端服務。
單擊下一步:配置雲企業網(可選),進行雲企業網綁定操作。
您可以通過以下兩種方式綁定雲企業網,本樣本選擇現有CEN進行綁定,以便用戶端與雲上資源互連。本樣本選擇現有CEN,選擇已建立的雲企業網執行個體。
選擇現有CEN:如果您已經建立了雲企業網,您可以單擊下方文字框,選擇已建立的雲企業網執行個體進行綁定。
建立CEN:如果您未建立過雲企業網,您可以在下方文字框中,輸入雲企業網執行個體名稱,系統會為您建立雲企業網執行個體並自動進行綁定。
建立用戶端帳號。
網路設定完成後,您還需要建立用戶端帳號,本機使用者可以通過已建立的用戶端帳號資訊登入用戶端,進而串連內網。
單擊下一步:建立用戶端帳號,進行用戶端帳號配置。
使用者名稱:非必填參數。
說明同一Smart Access GatewayApp執行個體下各用戶端使用者名稱不能重複,必須保證同一執行個體下用戶端使用者名稱的唯一性。
在建立用戶端過程中,若您只輸入郵箱資訊,用戶端成功建立後,系統將自動產生使用者名稱及密碼,其中系統將以郵箱地址作為使用者名稱。
郵箱地址:此參數必填。普通使用者的郵箱地址,用於管理員向普通使用者發送登入用戶端的帳號資訊。
是否固定IP:
如果開啟,需要設定用戶端的IP地址。當前帳號始終以此IP地址接入阿里雲。
說明設定的用戶端的IP地址必須在私網網段內。
如果關閉,系統自動從私網網段內分配可用IP地址,每次重連IP地址都會重新分配。
設定頻寬峰值:當前帳號可以使用的頻寬峰值。本樣本使用預設值。
可設定頻寬範圍為1 Kbps~2000 Kbps,預設為2000 Kbps。
設定密碼:非必填參數。設定登入用戶端時的密碼。
單擊確定建立。
重要如果系統未建立跨地區串連,請在VPC執行個體所屬地區的轉寄路由器與中國內地雲串連網轉寄路由器之間建立跨地區串連。具體操作,請參見跨地區串連。
如果系統已建立跨地區串連,請繼續參見後續步驟執行。
用戶端串連上雲。
步驟三:配置雲端服務訪問
您需要在雲企業網平台配置雲端服務並添加雲端服務路由。配置完成後,雲企業網便可將已載入的雲串連網執行個體所在的網路和OSS雲端服務網路打通,本機使用者便可通過雲企業網訪問OSS雲端服務。
登入雲企業網管理主控台。
單擊已建立目標雲企業網執行個體ID。
在頁簽,根據云服務部署的地區,單擊該地區的轉寄路由器ID。
在轉寄路由器詳情頁面,單擊轉寄路由器路由表頁簽。
在轉寄路由器路由表頁簽的左側地區選取項目目標路由表,在路由表詳情地區的路由條目頁簽下,單擊建立路由條目。
在添加路由條目對話方塊,根據以下資訊進行配置,然後單擊確定。
配置項
說明
路由表
系統預設選擇當前路由表。
所屬轉寄路由器
系統預設選擇當前轉寄路由器執行個體。
路由條目名稱
輸入路由條目的名稱。
目的地址CIDR
輸入雲端服務提供服務的地址或位址區段。
例如:輸入華東2(上海)地區OSS提供服務的位址區段
100.98.35.0/24
100.98.110.0/24
100.98.169.0/24
100.118.102.0/24
說明建議將上海地區所有網段都添加到路由條目當中。
是否為黑洞路由
選擇是否將該路由置為黑洞路由。取值:
是:表示該路由為黑洞路由,所有去往該路由的流量均會被丟棄。
否:表示該路由不為黑洞路由,需要您設定路由的下一跳串連。
本文需選擇否。
下一跳串連
選擇路由條目的下一跳串連。
選擇已串連至轉寄路由器的VPC執行個體的串連ID。
路由條目描述
輸入路由條目的描述資訊。
步驟四:訪問測試
完成上述配置後,本機使用者可通過阿里雲用戶端串連內網,然後嘗試訪問雲上OSS資源。
例如:在瀏覽器中,通過內網連結https://shosstest.oss-cn-shanghai-internal.aliyuncs.com/SHOSS.jpg下載之前已上傳的圖片SHOSS.jpg。
尋找檔案的訪問地址規則如下:
https://bucket名稱.VPC網路Endpoint地址/要查看的檔案名稱。查看地區對應的VPC網路Endpoint地址請參見:OSS內網網域名稱與VIP網段對照表。