我们已经准备好了,你呢?

获取网站建设报价

2023我们与您携手共赢,为您的企业形象保驾护航!


喜讯:国内、香港、海外云服务器租用特惠活动,2核/4G/10M仅需31元每月,点击抢购>>>

点击这里注册天翼云特邀VIP帐号,立即体验天翼云对象存储>>>


天翼云对象存储(经典版)II型使用教程-通过Nginx反向代理访问OBS


背景

一般情况下,用户会通过OBS提供的桶访问域名(例如https://bucketname.obs.cn-jssz1.ctyun.cn)的方式访问OBS。

但在某些场景下,用户需要通过固定的IP地址访问OBS,例如:某些企业出于安全考虑,对于可访问的外部地址需要设置黑白名单,而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑,天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的,所以用户无法获取某个桶长期有效的固定IP地址。

此时,可以通过在ECS上搭建Nginx反向代理服务器,来实现通过固定IP地址访问OBS。

原理介绍

本实践将Nginx部署在ECS上,搭建Nginx反向代理服务器。用户对代理无感知,只需要将请求发送到反向代理服务器,然后由反向代理服务器向OBS获取数据,再返回给用户。反向代理服务器和OBS对外看做一个整体,仅暴露代理服务器的IP地址,隐藏了OBS真实的域名或IP地址。

图-通过Nginx反向代理访问OBS原理

前置条件

  • 已明确OBS桶所在区域和桶的访问域名,如苏州区域的桶:nginx-obs.obs.cn-jssz1.ctyun.cn。查看方法

  • 已在同区域购买Linux操作系统的ECS,本文以CentOS系统为例。

  • ECS已绑定EIP,EIP用于从公网下载必要的Nginx安装包。


操作步骤

在ECS上安装Nginx

a.登录用于搭建Nginx反向代理服务器的ECS。

b.使用wget命令,下载对应当前操作系统版本的Nginx安装包。此处以CentOS 7.6版本的操作系统为例。

wget http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

c.执行以下命令,建立Nginx的yum仓库。此处以CentOS 7.6版本的操作系统为例。

rpm -ivh nginx-release-centos-7-0.el7.ngx.noarch.rpm

d.执行以下命令,安装Nginx。

yum -y install nginx

e.执行以下命令,启动Nginx并设置开机启动。

systemctl start nginx

systemctl enable nginx

f.在任意终端使用浏览器访问“http://ECS弹性公网IP地址”,显示如下图所示,说明Nginx安装成功。

图-Nginx安装成功

修改Nginx配置文件,反向代理OBS桶

a.执行以下命令,打开“default.conf”配置文件。

vim /etc/nginx/conf.d/default.conf

b.按“i”键进入编辑模式,修改“default.conf”配置文件。

server {

      listen       8089; #天翼云针对公网IP默认封闭80端口,需要备案后才能使用,建议使用其他端口如:8089,或者使用内网80端口访问。

      server_name  **.**.**.**;  #此处填写ECS弹性公网IP地址 

      location / {

           proxy_pass  https://nginx-obs.obs.cn-jssz1.ctyun.cn;  #此处填写OBS桶访问域名,以http://或https://开头

           index  index.html index.htm ;

        }

}

表-配置文件参数说明

参数

说明

server_name

提供反向代理服务的IP地址,即需要暴露给终端用户访问的固定IP地址。

此处填写搭建Nginx反向代理服务的ECS弹性公网IP地址,即当前登录的ECS弹性公网IP地址。

proxy_pass

被代理服务器的地址。

此处填写前提条件获取的OBS桶的访问域名,注意需要以http://或https://开头,例如:

https://nginx-obs.obs.cn-jssz1.ctyun.cn

c.按“Esc”,输入“:wq”保存并退出。

d.执行以下命令,测试Nginx配置文件状态。

nginx -t

e.执行以下命令,重启Nginx服务使配置生效。

systemctl stop nginx

systemctl start nginx


配置OBS桶策略,允许Nginx代理服务器的IP地址访问OBS(可选)

如果您的OBS桶为公共读,或者访问私有桶内对象时在URL中携带签名,则可跳过此步骤。

如果您的OBS桶为私有桶,且不希望使用携带签名的URL访问桶内资源,则建议配置以下桶策略或者桶ACLs策略:仅允许Nginx代理服务器的IP地址访问OBS桶。

桶对象ACLs策略如下:

赋予匿名用户读取权限

桶策略如下:

a.在OBS管理控制台左侧导航栏选择“对象存储”。

b.在桶列表单击待操作的桶,进入“概览”页面。

c.在左侧导航栏,单击“访问权限控制 > 桶策略”。

d.单击“创建桶策略”。

e.在桶策略模式,选择“自定义模式”。

f.配置如下参数。

表-桶策略参数配置

参数

说明

策略配置方式

可视化视图

策略名称

自定义

策略内容

效果

允许

被授权用户

  • 授权用户:匿名用户

  • 用户策略:包含以上用户

资源

  • 资源范围:同时选择当前桶和桶内对象

  • 资源策略:包含以上资源

动作