通过反向代理实现特定场景下OBS对象存储资源的访问

举报
shan0304 发表于 2019/09/21 16:06:38 2019/09/21
【摘要】 1 背景:· 有防火墙的或希望使用固定IP方式访问OBS的客户:华为云OBS 是基于Restful API对外提供服务。一般情况下终端用户会通过OBS服务默认的域名或者绑定的自定义域名来访问(ex:https://bucket.obs.cn-north-1.myhuaweicloud.com) 。这样就可以进行服务访问了,但是华为云OBS出于安全保护考虑,桶对应的域名通过...

1      背景:

·     有防火墙的或希望使用固定IP方式访问OBS的客户:

华为云OBS  是基于Restful API对外提供服务。一般情况下终端用户会通过OBS服务默认的域名或者绑定的自定义域名来访问(ex:https://bucket.obs.cn-north-1.myhuaweicloud.com) 。这样就可以进行服务访问了,但是华为云OBS出于安全保护考虑,桶对应的域名通过DNS解析的IP是会发生变化的。所以,您无法获取某个Bucket对应的长期有效IP地址。但是在一些企业公司,也同样出于安全考虑对于可访问的外部地址需要设置黑白名单,而这个时候对于OBS的访问则需要一个固定的IP。

·     客户希望从OBS下载对象按照带宽来使用和计费

在使用 华为云OBS作为网站 网盘等数据源提供数据下载能力时候,OBS 当前是基于流量进行计费,在经常性下载使用情况下,费用过高。那么这个时候可以使用ECS购买固定带宽的EIP,通过此ECS在内网从OBS下载数据再代理下载至终端用户。

·     客户使用专线条件下,解决内网访问可能出现的地址冲突:

部分专属云客户或者使用专线客户在将线下IDC和线上公有云打通访问OBS时候,可能因为IDC的内网地址规划为100.125.0.0/16,此时会和OBS服务在内网访问地址100.125.0.0/16产生冲突;这个时候访问OBS通过一个代理则可以解决此类问题。 

2      基于ECS搭建反向代理访问OBS

2.1      业务原理图

为了有效的解决上述三个问题,我们可以通过搭建一个反向代理服务器/集群来实现。其业务逻辑图如下:

image.png

2.2      环境搭建

下面我们使用Nginx+ECS实现一个反向代理来访问OBS

1.         确定桶所在的Region和桶域名如: obs-training.obs.cn-north-1.myhuaweicloud.comRegion为华北一(cn-north-1);

2.         在同一Region创建ECS,创建ELB(可选,当需要提高访问的可靠性或者需要提高代理访问的处理性能时候可以创建多个ECS并使用ELB;

3.         ECS上部署Nginx并配置反向代理。

2.2.1              ECS上安装Nginx

l  前提:

1.         已经完成ECS的创建,操作系统为Linux;本文以CentOS系统举例

2.         ECS上有申请EIP。用于从公网下载必要的安装包

l  安装Nginx

yum -y install nginx

默认的安装位置如下:


/usr/sbin/nginx      #运行程序位置
/etc/nginx/nginx.conf   #主配置文件所在位置
/usr/share/nginx     #存放静态文件 
/var/log/nginx/     #存放日志,里面有access.log和 error.log

l  配置Nginx

          1. 打开Nginx配置文件,处于可编辑状态

 
vi /etc/nginx/nginx.conf

          2. 在配置文件中填写 如下内容:

# For more information on configuration, see:
#   * Official English Documentation: http://nginx.org/en/docs/
#   * Official Russian Documentation: http://nginx.org/ru/docs/
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
# Load dynamic modules. See /usr/share/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
events {
    worker_connections 1024;
}
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 2048;
    underscores_in_headers on;
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;
    client_body_buffer_size 2048k;
    client_max_body_size 100M;  #设定下载上传时候单个http请求的数据量大小,建议在客户端上传下载使用分段,过大会导致Nginx负载过高
    fastcgi_buffer_size 1024k;
    fastcgi_buffers 6 256k;
    fastcgi_busy_buffers_size 1024k;
    # Load modular configuration files from the /etc/nginx/conf.d directory.
    # See http://nginx.org/en/docs/ngx_core_module.html#include
    # for more information.
    include /etc/nginx/conf.d/*.conf;
    #使用固定地址代理 OBS访问
    server {
        listen       80 default_server;
        listen       443;
        listen       [::]:80 default_server;
        server_name  114.115.168.79;
        root         /usr/share/nginx/html;
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
        allow 192.168.160.151; # 可以配置允许访问的主机地址
        #deny all; #根据需要打开
        location / {
            proxy_pass  http://obs.cn-north-1.myhuaweicloud.com;  # OBS 桶所在Region的域名 
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host obs.cn-north-4.myhuaweicloud.com;
        }
        error_page 404 /404.html;
            location = /40x.html {
        }
        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
    
    
 #访问OBS区域域名的配置   
    server {
        listen       80;
        listen       443;
        server_name       obs.cn-north-1.myhuaweicloud.com; 
        location / {
            proxy_pass http://obs.cn-north-1.myhuaweicloud.com/;
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host obs.cn-north-1.myhuaweicloud.com;
        }
    }
    #访问OBS全局域名的配置
    server {
        listen       80;
        listen       443;
        server_name       obs.myhuaweicloud.com;
        location / {
            proxy_pass http://obs.cn-north-1.myhuaweicloud.com/;
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host obs.cn-north-1.myhuaweicloud.com;
        }
    }
 #以虚拟主机方式访问OBS全局域名的配置  
    server {
        listen       80;
        listen       443;
        server_name       ~^((?<subdomain>.*).)obs.myhuaweicloud.com$;
        if ($subdomain = "") {
            set $subdomain "_";
        }
        location / {
            proxy_pass http://$subdomain.obs.cn-north-1.myhuaweicloud.com;
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $proxy_host;
        }
            resolver 100.125.1.250; #具体的值填入 华为云不同区域 内网DNS地址 
    }
#以虚拟主机方式访问OBS区域域名的配置 
   server {
    listen       80;
    listen       443;
    server_name       ~^((?<subdomain>.*).)obs.cn-north-1.myhuaweicloud.com$;
    access_log  /var/log/nginx/th_access.log  main;
    if ($subdomain = "") {
        set $subdomain "_";
    }
    proxy_connect_timeout    600;
    proxy_read_timeout       600;
    proxy_send_timeout       600;
    location / {
        proxy_pass http://$subdomain.obs.cn-north-1.myhuaweicloud.com;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $proxy_host;
    }
       resolver 100.125.1.250; #具体的值填入 华为云不同区域 内网DNS地址 
    }

l  启动Nginx服务


nginx -t  #测试nginx配置文件状态
service nginx start   #启动Nginx验证


2.3     业务验证

说明:

针对不同的桶,更换obs-training 为自己的桶名即可

root@charles-single sbin]# curl http://114.115.168.79/obs-training/12323.jpg -v -o /dev/null 
* About to connect() to 114.115.168.79 port 80 (#0)
*   Trying 114.115.168.79...
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0* Connected to 114.115.168.79 (114.115.168.79) port 80 (#0)
> GET /obs-training/12323.jpg HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 114.115.168.79
> Accept: */*
> 
< HTTP/1.1 200 OK
< Server: nginx/1.12.2
< Date: Mon, 13 May 2019 03:11:06 GMT
< Content-Type: binary/octet-stream
< Content-Length: 114227
< Connection: keep-alive
< x-obs-request-id: 0000016AAF2C239C800F8E84F4D13B57
< Accept-Ranges: bytes
< ETag: "6bb5309f86b2500c1df09d5fdd6093d3"
< Last-Modified: Wed, 17 Apr 2019 07:14:28 GMT
< x-obs-id-2: 32AAAQAAEAABAAAQAAEAABAAAQAAEAABCSTJ11baWxLll8cZxT86/Hxc6lp0Ja0S
< 
{ [data not shown]
100  111k  100  111k    0     0  2598k      0 --:--:-- --:--:-- --:--:-- 2655k
* Connection #0 to host 114.115.168.79 left intact

通过web展示,在浏览器地址栏输入http://114.115.168.79/obs-training/12323.jpg

image.png


3 其他说明

1.使用ELB过程就不再详述,可以参考ELB的使用指南:https://support.huaweicloud.com/productdesc-elb/zh-cn_topic_0015479966.html

2.https默认为无法进行证书校验的访问,如有需要请导入证书至代理服务器。具体 参考Nginx帮助:https://www.cnblogs.com/jikexianfeng/p/8410166.html

3.如果使用域名那么可以通过在DNS将域名 解析记录地址 改为代理服务器地址来实现。



【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。