配置访问OBS服务内网地址的终端节点
方案概述
如果您希望本地数据中心通过VPN或者云专线以内网方式访问OBS服务,则可以通过终端节点连接终端节点服务实现。
本节介绍线下节点(即本地数据中心)通过内网方式访问云上OBS服务的配置指导。
部分区域支持通过控制台直接选择“网关”类型的OBS终端节点服务,因此本场景仅适用于这些区域。
不能通过控制台直接选择“网关”类型的OBS终端节点服务的的区域需要按照名称查找并关联终端节点,终端节点服务名称请提交工单或联系OBS服务运维人员获取。
如上图所示,线下节点(即本地数据中心)通过VPN或者云专线与VPC连通。在VPC内购买终端节点,与云上的OBS和DNS类型的终端节点服务连接,实现线下节点(即本地数据中心)通过内网访问云上服务。
终端节点不能脱离终端节点服务单独存在,购买终端节点的前提是要连接的终端节点服务已存在。
本操作场景涉及两个系统创建的终端节点服务:
操作流程
|
步骤 |
说明 |
|---|---|
|
在使用VPC终端节点前,请先注册华为账号并开通华为云、完成实名认证、为账户充值。 |
|
|
为了将解析OBS域名的请求转发到终端节点,您需要购买连接DNS服务的终端节点。 |
|
|
为了实现用户本地数据中心节点通过终端节点访问OBS服务,需要购买连接OBS服务的终端节点。 |
|
|
通过虚拟专用网络或者云专线方式访问OBS服务。 |
准备工作
- 在开始操作前,请您先注册华为账号并完成实名认证,详细请参见注册华为账号并开通华为云和个人实名认证。
- 请您保证账户有足够的资金,以免购买资源失败,具体操作请参见账户充值。
VPC终端节点不支持通过华为云APP操作,请通过华为云官网使用VPC终端节点。
步骤一:购买连接DNS的终端节点
为了将解析OBS域名的请求转发到终端节点,您需要购买连接DNS服务的终端节点。
- 进入终端节点列表页。
- 在“终端节点”列表页,单击“购买终端节点”。
- 根据界面提示配置参数。
表1 终端节点配置参数 参数
示例
说明
区域
拉美-墨西哥城一
终端节点所在区域。
不同区域的资源之间内网不互通。请选择靠近您的区域,可以降低网络时延、提高访问速度。
计费方式
按需计费
按需计费是后付费模式,按终端节点的实际使用时长计费,可以随时开通/删除终端节点。
仅支持按需计费。
服务类别
云服务
可选择“云服务”或“按名称查找服务”。
- 云服务:当您要连接的终端节点服务为云服务时,需要选择“云服务”。
- 按名称查找服务:当您要连接的终端节点服务为用户私有服务时,需要选择“按名称查找服务”。
此处选择“云服务”。
选择服务
com.myhuaweicloud.na-mexico-1.dns
若“服务类别”选择“云服务”,则会出现该参数。
终端节点服务实例已由运维人员预先创建完成,您可以直接使用。
此处选择DNS服务实例,即“com.myhuaweicloud.na-mexico-1.dns”。
创建内网域名
-
如果您想要以域名的方式访问终端节点,则选择“创建内网域名”,终端节点创建完成后,即可通过内网域名直接访问终端节点。
关联终端节点服务类型为“接口”时需要在页面设置此选项。
虚拟私有云
-
选择终端节点所属的虚拟私有云。
子网
-
当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。
选择终端节点所属的子网。
IPv4地址
-
当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。
终端节点的IPv4地址。
可选择“自动分配”或“手动分配”。
访问控制
开启
当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。
用于设置允许访问终端节点的IP地址或网段。
- 开启:只允许白名单列表中的IP地址或网段访问终端节点。
- 关闭:允许任何IP地址或网段访问终端节点。
白名单
-
当创建连接“接口”类型终端节点服务的终端节点时,则会出现该参数。
用于设置允许访问的IP地址或网段,最多支持添加20个记录。
策略
-
终端节点策略。
终端节点策略是一种基于资源的策略,您可以附加到VPC终端节点,以控制哪些主体可以使用该终端节点访问终端节点服务。
标签 (可选)
example_key1
example_value1
您按需为终端节点绑定标签,标签可用来分类和标识资源。
终端节点购买连接完成后支持修改该参数。
描述 (可选)
-
终端节点描述内容。
表2 终端节点标签命名规则 参数
规则
键
- 不能为空。
- 对于同一资源键值唯一。
- 长度不超过128个字符。
- 取值可以包含任意语种字母、数字、空格和_ . : = + - @,且首尾不能含有空格,不能以_sys_开头。
值
- 可以为空。
- 长度不超过255个字符。
- 取值可以包含任意语种字母、数字、空格和_ . : / = + - @,且首尾不能含有空格。
- 单击“立即购买”。
- 确认终端节点信息,单击“提交”。
步骤二:购买连接OBS的终端节点
为了实现用户本地数据中心节点通过终端节点访问OBS服务,需要购买连接OBS服务的终端节点。
- 进入终端节点列表页。
- 在“终端节点”列表页,单击“购买终端节点”。
- 根据界面提示配置参数。
表3 终端节点配置参数 参数
示例
说明
区域
拉美-墨西哥城一
终端节点所在区域。
不同区域的资源之间内网不互通。请选择靠近您的区域,可以降低网络时延、提高访问速度。
计费方式
按需计费
按需计费是后付费模式,按终端节点的实际使用时长计费,可以随时开通/删除终端节点。
仅支持按需计费。
服务类别
云服务
可选择“云服务”或“按名称查找服务”。
- 云服务:当您要连接的终端节点服务为云服务时,需要选择“云服务”。
- 按名称查找服务:当您要连接的终端节点服务为用户私有服务时,需要选择“按名称查找服务”。
拉美-墨西哥城一、拉美-圣保罗一和拉美-圣地亚哥区域的用户请选择“云服务”,其他区域的用户请选择“按名称查找服务”。
选择服务
com.myhuaweicloud.na-mexico-1.obs
若“服务类别”选择“云服务”,则会出现该参数。
终端节点服务实例已由运维人员预先创建完成,您可以直接使用。
拉美-墨西哥城一、拉美-圣保罗一和拉美-圣地亚哥区域的用户请根据具体的区域选择对应的OBS服务实例:
- 拉美-墨西哥城一:com.myhuaweicloud.na-mexico-1.obs
- 拉美-圣保罗一:com.myhuaweicloud.sa-brazil-1.obs
- 拉美-圣地亚哥:com.myhuaweicloud.la-south-2.obs
以拉美-墨西哥城一为例,选择“com.myhuaweicloud.na-mexico-1.obs”
服务名称
-
若“服务类别”选择“按名称查找服务”,则会出现该参数。
请提交工单或联系OBS服务运维人员获取“网关”型的OBS终端节点服务名称。
输入OBS终端节点服务名称,单击“验证”确认生效。
虚拟私有云
-
选择终端节点所属的虚拟私有云。
路由表
-
当创建连接“网关”类型终端节点服务的终端节点时,则会出现该参数。
说明:该参数仅在开放区域可见。
建议选择所有路由表,否则可能导致网络无法访问。
根据实际需求选择终端节点所属的虚拟私有云的路由表。
添加路由的详细操作请参考《虚拟私有云用户指南》中的“添加自定义路由”。
策略
-
终端节点策略。
终端节点策略是一种基于资源的策略,您可以附加到VPC终端节点,以控制哪些主体可以使用该终端节点访问终端节点服务。
标签 (可选)
example_key1
example_value1
您按需为终端节点绑定标签,标签可用来分类和标识资源。
终端节点购买连接完成后支持修改该参数。
描述 (可选)
-
终端节点描述内容。
表4 终端节点标签命名规则 参数
规则
键
- 不能为空。
- 对于同一资源键值唯一。
- 长度不超过128个字符。
- 取值可以包含任意语种字母、数字、空格和_ . : = + - @,且首尾不能含有空格,不能以_sys_开头。
值
- 可以为空。
- 长度不超过255个字符。
- 取值可以包含任意语种字母、数字、空格和_ . : / = + - @,且首尾不能含有空格。
- 单击“立即购买”。
- 确认终端节点信息,单击“提交”。
步骤三:访问OBS服务
- 在“终端节点”列表,单击创建的连接DNS服务的终端节点ID,查看该终端节点的“节点IP”。
- 在用户本地数据中心的DNS服务器配置相应的DNS转发规则,将解析OBS域名的请求转发到连接DNS服务的终端节点。
不同操作系统中配置DNS转发规则的方法不同,具体操作请参考对应DNS软件的操作指导。
本步骤以Unix操作系统,常见的DNS软件Bind为例介绍:
方式1:在/etc/named.conf文件中增加DNS转发器的配置,“forwarders”为连接DNS服务的终端节点的IP地址。
options { forward only; forwarders{ xx.xx.xx.xx;}; };方式2:在/etc/named.rfc1912.zones文件中增加如下内容,“forwarders”为连接DNS服务的终端节点的IP地址。
以“拉美-墨西哥城一”的OBS的Endpoint地址和所在集群地址为例:
zone "obs.na-mexico-1.myhuaweicloud.com" { type forward; forward only; forwarders{ xx.xx.xx.xx;}; }; zone "obs.lz01.na-mexico-1.myhuaweicloud.com" { type forward; forward only; forwarders{ xx.xx.xx.xx;}; }; - 配置用户本地数据中心节点到VPN网关或者专线网关的DNS路由。
为了通过VPN或者云专线访问DNS,需要将用户本地数据中心节点访问DNS的流量指向用户本地数据中心节点的专线网关或者VPN网关。
在用户本地数据中心节点配置永久路由,指定访问DNS的流量下一跳为用户本地数据中心节点专线网关或者VPN网关的IP地址。
route -p add xx.xx.xx.xx mask 255.255.255.255 xxx.xxx.xxx.xxx
- xx.xx.xx.xx为步骤1中连接DNS服务的终端节点IP。
- xxx.xxx.xxx.xxx为用户本地数据中心节点专线网关或者VPN网关的IP地址。
- 不同操作系统的Route命令格式存在差异,请以用户实际操作系统对应的Route命令格式为准。
- 配置用户本地数据中心节点到VPN网关或者专线网关的OBS路由。
连接OBS服务的终端节点会指向100.125.0.0/16 网段(OBS服务内网段),为了通过VPN或者云专线访问OBS,需要将用户本地数据中心节点访问OBS服务的流量指向用户本地数据中心节点的专线网关或者VPN网关。
在用户本地数据中心节点配置永久路由,指定访问OBS的流量下一跳为用户本地数据中心节点专线网关或者VPN网关的IP地址。
route -p add 100.125.0.0 mask 255.255.0.0 xxx.xxx.xxx.xxx
- xxx.xxx.xxx.xxx为用户本地数据中心节点专线网关或者VPN网关的IP地址。
- 不同操作系统的Route命令格式存在差异,请以用户实际操作系统对应的Route命令格式为准。
- 在本地数据中心,通过以下命令验证本地数据中心与OBS的连通性。
telnet bucketname.endpoint 端口号
此处的“bucketname.endpoint”表示OBS桶的访问域名,可以在OBS控制台查看桶信息获取,详细请参见查看桶的信息。
其中:
- bucketname:表示OBS的桶名称。
- endpoint:表示桶所在区域的终端节点(区域域名)。
- 端口号:业务端口,80或443。
例如,telnet bucketname.obs.na-mexico-1.myhuaweicloud.com 80或者telnet bucketname.obs.na-mexico-1.myhuaweicloud.com 443
