百度智能云对象存储BOS 混合云中使用专线-VPN访问BOS

对象存储BOS

简介/价格/文档

百度智能云对象存储BOS 混合云中使用专线-VPN访问BOS

文档简介：

混合云融合了公有云和私有云，是近年来云计算的主要模式和发展方向。企业出于安全考虑更愿意将数据存放在私有云中，但是同时又希望获得公有云的计算资源。百度智能云混合云方案中客户 IDC 和百度智能云 VPC 通过专线/ VPN 打通，实现云上云下业务紧密连接，既可以利用云上资源的按需使用和易扩展的特性，又可以利用本地 IDC 满足合规性要求。

*此产品及展示信息均由百度智能云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

应用场景

专线/ VPN 能为客户 IDC 访问 BOS 提供高速安全的传输通道。但在混合云方案中，客户 IDC 访问 BOS 时（例如把本地数据备份到云上），由于客户 IDC 解析 BOS 域名得到的是 BOS 公网 IP 地址，所以数据流还是走公网传输，无法利用专线/ VPN。该教程为混合云中使用专线/ VPN 访问 BOS 提供解决方案。

解决方案

方案1：使用VPC服务网卡

服务网卡是一个高可用高扩展性的 VPC 访问 BOS 代理，可以将 BOS 等 VPC 外部公共服务映射到 VPC 内部，也可以挂载服务发布点生成的服务域名，用户可以在 VPC 内或者混合云对端通过内网便捷、安全地访问这些服务。

配置前您需要了解：

每个VPC可支持20个服务网卡。

一块服务网卡仅属于一个子网，其IP地址必须属于该子网CIDR块中。

单服务每个子网仅支持一个服务网卡。

服务网卡后端可挂载本地域服务。

方案2：使用BCC作为访问代理

概述

混合云中使用专线/ VPN 访问 BOS 方案的核心是使用 BCC 作为访问代理：

首先申请一台 BCC 并安装 Nginx，作为到 BOS 的反向代理；
修改客户 IDC 机器的本地 DNS 记录，把访问 BOS 的请求指向 Nginx 代理。

注意：本方案只能保证同区域下访问 BOS 走专线/ VPN 和内网。例如客户 IDC 和百度智能云的北京 VPC 打通，本方案可以利用专线/ VPN 访问位于北京的 BOS Bucket；但如果客户去访问位于广州的 BOS Bucket，数据还是会走公网传输。

配置Nginx反向代理

首先申请一台 BCC。推荐配置：2 核 CPU、4G 内存、CentOS 7.1，无需配置公网 IP。

安装 Nginx。由于我们需要额外的 stream 模块来提供 TCP 协议代理，所以还需要安装 stream 模块。

a) yum install nginx nginx-mod-stream

b) 配置 Nginx：

cd /nginx/
vim nginx.conf

把 nignx.conf 修改成如下配置，注意下述配置适用于北京区域，如果想访问广州区域的 BOS，把配置文件里的 bj 替换成 gz 即可：

#user  work;
worker_processes  auto;

events {
    worker_connections  1024;
}

stream {
    error_log logs/access.log info;

    # The backend address of BOS in Beijing
    upstream httpbosbj {
        server bj.bcebos.com:80;
    }

    upstream httpsbosbj {
        server bj.bcebos.com:443;
    }

    server {
        listen       80;

        proxy_pass httpbosbj;
        # Proxy settings
        proxy_connect_timeout   5s;
        proxy_timeout           90s;
        proxy_buffer_size       4k;
    }

    server {
        listen       443;

        proxy_pass httpsbosbj;
        # Proxy settings
        proxy_connect_timeout   5s;
        proxy_timeout           90s;
        proxy_buffer_size       4k;
    }
}

c) 验证配置文件并启动 Nginx（需要 root ）：

nginx -t
mkdir –p /usr/share/nginx/logs

确认 Nginx 成功启动：

配置客户IDC节点

配置本地 DNS 记录，让客户 IDC 机器把访问 BOS 的请求指向到 Nginx 中转机。例如在 CentOS 环境下，在 /etc/hosts 中添加记录：

nginxIp bj.bcebos.com

这里 nginxIp 就是上面配置的 Nginx 反向代理的内网 IP 地址，eg. 192.168.1.5。Windows 等环境下修改本地 DNS 记录同理。

测试

配置完成后您就可以使用专线/ VPN 从 IDC 机器访问 BOS 了，您可以使用 BOS SDK、CLI、BOS 桌面等各种工具进行文件上传和管理。

此外，您还可以登陆 Nginx 代理节点检查日志来确认 Nginx 反向代理工作状态是否正常：

less /usr/local/nginx/logs/access.log

说明:

本教程提供的方案可以满足大多数情况下的访问 BOS 需求。在 2 核 4G 配置下，代理节点可以支撑 1000 并发连接（这是由于 BOS 出于防 DDoS 原因限制了单 IP 的并发访问连接数）和 1Gbps 的访问速度。

不过本方案有如下限制：(1) Nginx 代理是潜在的单点故障，您需要维护这台 BCC 实例保证其运行正常；(2)如果需要更高的上传速度和更多的并发连接，可以进一步提高 Nginx 节点配置或增加额外 Nginx 节点等。

相似文档

百度智能云对象存储BOS 使用CDN加速BOS
存储分发场景下，BOS用于存放网站的静态图片、视频文件和应用服务的下载内容等文件。存储分发场景通常有以下特点：静态文件访问量大，访问频率高，服务器负载高；
百度智能云对象存储BOS CDN动态加速上传数据到BOS
本文主要介绍如何利用 CDN 的动态加速特性来提升客户端数据上传 BOS 过程的传输速度和稳定性。 BOS 联合 CDN 推出数据上传动态加速功能，主要是为了满足用户在使用 BOS 上传数据场景中的加速需求。
百度智能云对象存储BOS防盗链
A网站将自己的静态资源如图片或视频等存放在百度智能云存储的BOS上。B网站在未经A允许的情况下，使用A网站的图片或视频资源，放置到自己的网站中。由于BOS是按照使用量收费，这样网站B盗取了网站A的空间和流量，而A没有获取任何利益却承担了资源使用费。B盗用A资源放到自己网站的行为即为盗链。
百度智能云对象存储BOS如何解决浏览器跨域CORS问题
同源策略是Netscape公司在1995年引入浏览器的一个著名安全策略，它是浏览器最核心也最基本的安全功能，可以概括为本域脚本只能读写本域内的资源，而无法访问其它域的资源，以防止信息泄露。
百度智能云对象存储BOS客户端加密实践
客户端加密，是指由用户在本地自行完成文件的加密和解密过程，百度智能云对象存储不参与加密和解密过程，只负责文件的上传、存储、下载过程，明文密钥由用户自行保管在本地。客户端加密增强了文件安全性，即使文件意外泄露，别人也无法解密得到原始数据。

文档中心

全民上云·上云补贴申领

免费试用（限企业）