配置双端固定实现VPC粒度的访问控制
应用场景
使用“双端固定”特性,可以对OBS中的资源提供VPC粒度的权限控制,确保云上数据在一个安全的网络环境内传输,降低未授权访问风险。双端固定适用于以下场景:
- 保护重要数据不通过公网传输,只有指定用户可以通过内网访问。例如,医疗行业存储在OBS中的医疗影像、电子病例等敏感信息,由于合规要求不能在公网传输,只能由华为云某个特定VPC中的服务器(ECS/CCE/BMS)通过内网访问,来自其他VPC的访问都会被拒绝。
- 共享OBS中的数据,针对来自不同VPC的访问授予不同权限。例如,企业在OBS中存储的数据需要在不同部门之间共享,不同部门需要设置不同的访问权限,比如在VPC1的开发团队拥有所有数据的读写权限,在VPC2的测试团队拥有所有数据的读权限,在VPC3的其他团队只有部分数据的读权限。
背景信息
虚拟私有云(Virtual Private Cloud,以下简称VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以在这个私有网络里创建和管理自己的云上资源,安全又灵活。了解更多请参见什么是VPC?
VPC终端节点(VPC Endpoint,以下简称VPCEP),能够将VPC私密地连接到终端节点服务(比如对象存储服务,即OBS),VPC中的云资源无需弹性公网IP就能够访问OBS,提高了访问效率,为您提供更加灵活、安全的组网方式。了解更多请参见什么是VPCEP?
您可以通过VPCEP将OBS中的数据共享给云上VPC。您还可以通过云专线、虚拟专用网络(VPN)等将OBS中的数据共享给用户本地数据中心,构建混合云网络,灵活整合资源。

如果想在同一区域内借助VPCEP以私有网络的方式访问OBS,只需要把OBS作为服务资源添加到终端节点服务中,然后在VPC内创建与OBS相连的终端节点,就能通过终端节点,在私有网络环境下访问OBS了。

如果您本地数据中心想要通过私有网络访问存储在华为云OBS中的数据,需要在同一区域内,用云专线或者VPN网关搭建起本地数据中心和VPC之间的桥梁,然后使用VPCEP连接起VPC和OBS,这样本地数据中心就能顺利通过私有网络,访问到OBS中存储的数据了。
工作原理
典型场景及策略配置示例
本节提供双端固定典型的使用场景和配置示例:
配置双端固定
本节以VPC中的ECS云服务器访问OBS桶为示例场景,如图6所示,为您介绍双端固定的详细操作步骤。
资源 |
区域 |
数量 |
资源名称 |
资源说明 |
---|---|---|---|---|
虚拟私有云VPC |
中国-香港 |
2 |
example-vpc1 |
用于承载云服务器example-ecs1,绑定example-vpcep1。 |
example-vpc2 |
用于承载云服务器example-ecs2,绑定example-vpcep2。 |
|||
VPC终端节点 VPCEP |
2 |
example-vpcep1 |
绑定example-vpc1,对example-vpc1发出的请求做访问控制。允许对example-bucket-a中的对象进行上传下载操作。 |
|
example-vpcep2 |
绑定example-vpc2,对example-vpc2发出的请求做访问控制。允许对example-bucket-a中的对象进行上传下载操作。 |
|||
弹性云服务器ECS |
2 |
example-ecs1 |
创建时,虚拟私用云选择example-vpc1,选择Linux操作系统,例如Ubuntu 24.04 server 64bit(10GiB)。 |
|
example-ecs2 |
创建时,虚拟私用云选择example-vpc2,选择Linux操作系统,例如Ubuntu 24.04 server 64bit(10GiB)。 |
|||
对象存储OBS |
1 |
example-bucket-a |
桶策略允许来自example-vpc1访问,拒绝来自example-vpc2访问。 |
相关操作
使用双端固定的过程中,您可能还会涉及到以下操作:
相关文档
- 如何将OBS桶共享给用户本地数据中心请参见通过VPC终端节点和云专线服务实现云下IDC访问云上服务。
- 虚拟专用网络、云专线线下节点通过终端节点高速访问OBS请参见访问OBS。
- OBS桶策略介绍详见桶策略。