华为云用户手册

资源和成本规划 最佳实践中涉及的资源如下： 表1 资源说明 资源 资源说明 应用客户端（APP Client） 最终用户手机上的APP，负责向应用服务器发出申请临时安全凭证的请求，以及访问OBS完成数据上传或下载。 应用服务器（APP Server） 提供该Android/iOS应用的开发者开发的APP后台服务，用于用户管理和授权管理等。 对象存储服务 （OBS） 华为云对象存储服务，负责处理移动应用的数据请求。 统一身份认证 服务（ IAM ） 华为云统一身份认证服务，负责生成临时安全凭证。

方案架构 使用的方式，可以将应用客户端的数据直传至OBS，或者将存储在OBS里的数据进行下载。具体流程如图1。 OBS支持使用临时安全凭证（临时AK/SK和securitytoken）进行授权访问，同时支持为临时安全凭证配置权限策略来指定使用该临时安全凭证时允许执行的操作。什么是临时安全凭证？ 移动应用客户端可以使用指定了权限策略的临时安全凭证来访问OBS，实现数据直传，整个过程不会暴露用户的永久AK/SK，降低了账号泄露带来的安全风险。 图1 使用临时安全凭证直传OBS流程 角色分析如下： 应用客户端：即最终用户手机上的APP，负责向应用服务器发出申请临时安全凭证的请求，以及访问OBS完成数据上传或下载。 应用服务器：即提供该Android/iOS应用的开发者开发的APP后台服务，用于用户管理和授权管理等。 对象存储服务：即华为云对象存储服务，负责处理移动应用的数据请求。 统一身份认证服务：即华为云统一身份认证服务，负责生成临时安全凭证。 实现流程如下： 应用客户端向应用服务器申请一个临时操作凭证。 应用服务器向统一身份认证服务请求临时安全凭证。 统一身份认证服务向应用服务器返回临时安全凭证。 应用服务器将临时安全凭证发放给应用客户端。 应用客户端使用安全凭证完成OBS数据上传下载。

移动应用直传方案概述 在互联网中，使用OBS作为存储在移动APP（手机Android、iOS应用）中获得了越来越广泛的应用。Android和iOS应用使用OBS服务时，不能直接存储访问密钥（AK/SK），这样可能会导致访问密钥（AK/SK）被黑客软件破解获取，进而可能导致存放在 云存储 中的文件数据被窃取，甚至被篡改。 为了更好地保护应用数据，避免被攻击后数据泄露以及越权访问的风险，为您推荐以下两种方法。 方法一：使用临时安全凭证直传OBS 方法二：使用预签名URL访问OBS 方法一使用临时的AK/SK，可以避免AK/SK泄露的风险。推荐您优先使用临时安全凭证直传OBS。 父主题： 移动应用直传

OBS性能优化建议 OBS按照对象名的UTF-8编码范围来进行分区管理，对系统进行水平扩展与动态负载均衡。如果用户在对象命名规则上使用了顺序前缀（如时间戳或字母顺序），可能导致大量对象的请求访问集中于某个特定分区，造成访问热点。热点分区上的请求速率受限，访问时延上升。 推荐使用随机前缀对象名，这样请求就会均匀分布在多个分区，达到水平扩展的效果。 示例： 比如典型的日志归档场景，可能上传的对象名都是如下形式： yourbucket/obslog/20190610-01.log.tar.gz yourbucket/obslog/20190610-02.log.tar.gz yourbucket/obslog/20190610-03.log.tar.gz yourbucket/obslog/20190610-04.log.tar.gz ... yourbucket/obslog/20190611-01.log.tar.gz yourbucket/obslog/20190611-02.log.tar.gz yourbucket/obslog/20190611-03.log.tar.gz yourbucket/obslog/20190611-04.log.tar.gz 建议为对象名添加3位以上16进制哈希前缀： yourbucket/6ac-obslog/20140610-01.log.tar.gz yourbucket/b42-obslog/20140610-02.log.tar.gz yourbucket/17f-obslog/20140610-03.log.tar.gz yourbucket/ac9-obslog/20140610-04.log.tar.gz ... yourbucket/95d-obslog/20140611-01.log.tar.gz yourbucket/4a5-obslog/20140611-02.log.tar.gz yourbucket/ea2-obslog/20140611-03.log.tar.gz yourbucket/ba3-obslog/20140611-04.log.tar.gz

OBS最佳实践汇总 本文汇总了基于对象存储服务（OBS，Object Storage Service）常见应用场景的操作实践，为每个实践提供详细的方案描述和操作指导，帮助用户轻松构建基于OBS的存储业务。 表1 OBS最佳实践一览表 最佳实践 说明 面向AI场景使用OBS+SFS Turbo的存储加速实践 针对AI训练场景中面临的问题，华为云提供了基于对象存储服务OBS+高性能文件服务SFS Turbo的AI云存储解决方案。华为云高性能文件服务SFS Turbo HPC型支持和OBS数据联动，您可以通过SFS Turbo HPC型文件系统来加速对OBS对象存储中的数据访问，并将生成的结果数据异步持久化到OBS对象存储中长期低成本保存。 OBS安全配置建议 本章节提供了OBS使用过程中的安全最佳实践，旨在为提高整体安全能力提供可操作的规范性指导。 企业数据权限控制最佳实践 本最佳实践提供了企业开通OBS后可以设置的四种常见权限控制。 为不同职能部门的员工设置不同的访问权限，以此达到不同部门人员访问公司数据的权限隔离。 设置权限允许其他部门/项目用户下载共享数据，禁止写删。 给各业务部门分配各自所需的IAM用户，通过桶策略给每个业务部门下的IAM用户授予独立的资源权限。 通过OBS Browser+添加外部桶的方式实现业务部门之间桶资源隔离。 搬迁本地数据至OBS 本章节根据用户本地（个人电脑或自建存储服务器）数据大小，介绍了几种将本地数据搬迁至OBS的方式，并针对不同方式提供了对应操作流程及指导。 迁移第三方云厂商的数据至OBS 本章节根据存储在第三方云厂商的数据量及迁移场景，介绍了几种迁移方式，并针对不同方式提供了对应操作流程及指导。 OBS之间数据迁移 本章节介绍如何在华为云对象存储服务OBS之间进行跨账号、跨地域、以及同地域内的数据迁移。 使用备份软件实现本地数据备份至OBS 本章节描述了备份本地数据至OBS的背景以及OBS支持的备份软件，并以Commvault备份软件为例，介绍了备份本地数据至OBS的基本流程。 在E CS 上通过内网访问OBS ECS支持通过公网和华为云内网两种方式访问OBS，为优化性能、节省开支，建议通过华为云内网访问OBS。本章节详细描述了在ECS上如何通过华为云内网访问OBS服务。 通过 CDN加速 访问OBS OBS支持通过CDN加速实现快速获取存储在OBS上的数据，提升终端用户体验，降低OBS流量开销。本章节以OBS文件下载加速为例，介绍了如何通过CDN加速访问OBS。 使用自定义 域名 托管静态网站 本章节详细描述了在OBS上使用自定义域名托管静态网站的操作流程及步骤，无需搭建网站服务器，即可快速发布个人及企业静态网站。 OBS数据一致性校验 对象数据在上传下载过程中，有可能会因为网络劫持、数据缓存等原因，存在数据不一致的问题。本章介绍如何利用OBS提供的通过计算MD5值的方式，对上传下载的数据进行一致性校验。 性能优化最佳实践 本章节介绍如何通过给对象添加随机前缀名，对高速率访问请求进行水平扩展，以达到提升访问速率，降低访问时延的效果。 将WordPress远程附件存储到OBS 本章节介绍如何通过插件，将WordPress远程附件存储到华为云OBS。 Web端通过PostObject接口直传OBS 本章节介绍一种在Web端利用PostObject接口直传文件至OBS的方法，即使用表单上传方式上传文件至OBS。该方案省去了应用服务器这一步骤，提高了传输效率，不会对服务器产生压力，且服务端签名后直传可以保证传输的安全性。 移动应用直传 本章节介绍了应用客户端访问OBS的两种方法，从而更好地保护应用数据，避免被攻击后数据泄露以及越权访问的风险。 小程序直传OBS 本章节通过一个示例程序演示了如何通过微信小程序上传文件至OBS。 通过Nginx反向代理访问OBS 本章节介绍如何通过在ECS上配置Nginx反向代理，实现通过固定IP地址访问OBS。 大数据场景下使用OBS实现存算分离 华为云存算分离大数据方案相比传统大数据方案，在同样的业务规模下所使用的计算资源、存储资源以及服务器数量都会有明显下降，同时资源利用率也能得到显著提升，可帮助企业降低业务综合成本。 通过s3fs挂载OBS对象桶 s3fs是一款基于用户空间文件系统（Filesystem in Userspace，简称FUSE）的文件系统工具。本章节介绍在Linux系统中，将OBS对象桶挂载到本地文件系统，让您能够像操作本地文件一样操作对象，实现数据的共享。 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表2 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 CDN下载加速 该方案可以自动将存储在OBS中的数据按需缓存至各地CDN节点，有效加速实现静态资源访问和下载加速 CDN、OBS、DNS 全球数据传输加速 该解决方案基于华为云全站加速 WSA服务的动态加速技术构建，有效提升动态页面的加载速度和访问成功率 WSA、OBS、DNS、EIP 文字识别 -发票识别与验真 该解决方案基于华为云文字识别 OCR服务增值税发票识别与发票验真技术构建，实现财税报销自动化 FunctionGraph、OCR、OBS 内容审核 -图片审核 该解决方案可以自动识别图片中涉黄、广告、涉政涉暴、涉政敏感人物等违规内容，降低业务违规风险 FunctionGraph、Moderation、OBS 人证核身 解决方案 该解决方案基于华为云人证核身 IVS服务和 人脸识别 FRS服务构建，快速实现对用户身份真实性的核验 FunctionGraph、IVS、OBS、FRS、APIG 语音识别 解决方案 该方案支持中文普通话以及带方言口音的普通话识别以及方言（四川话、粤语和上海话）的识别 FunctionGraph、SIS、OBS 语音识别-隐私通话内容分析 适用于电商领域客服服务过程异常检测，电销领域违规、投诉、专项检测及金融领域机会点挖掘、信用分析等场景 FunctionGraph、语音识别、OBS、SIS 语音识别-客服中心语音质检 适用于货运出行行业隐私通话分析、金融保险领域业务洞察分析及安防风控领域反诈威胁分析等场景 FunctionGraph、语音识别、OBS、SIS 无服务器日志实时分析 该解决方案帮助您基于无服务器架构实现弹性云服务器 ECS日志的采集、分析、告警以及存档 FunctionGraph、OBS、ECS、LTS、 SMN 无服务器图片生成缩略图 基于 函数工作流 FunctionGraph快速实现生成图片缩略图，适用于各种Web网页场景 FunctionGraph、OBS 无服务器文件解压 基于函数工作流 FunctionGraph快速实现对象存储 OBS桶里的ZIP或者TAR类型压缩包的自动在线解压 FunctionGraph、OBS CDN日志定时转储解决方案 基于函数工作流 FunctionGraph帮助用户定时转储CDN服务产生的日志到指定对象存储桶中 FunctionGraph、CDN、OBS 无服务器告警推送 提供一种免开发、易使用、低成本的方式，自动推送华为云的资源告警信息到您常用的通讯平台或统一告警平台 ECS、EVS、OBS、 CES 、SMN、FunctionGraph、DEW、VPC

方式三：使用OBS SDK校验下载对象的一致性 OBS SDK对待下载对象的自定义元数据中的MD5值和下载到本地的对象的MD5值进行对比，通过对比结果判断下载对象的一致性。 该功能的前提是对象自定义元数据中必须有MD5值字段，并且该字段表示的意思是原始对象的MD5值。 上传过程中设置MD5值到自定义元数据中的示例代码请参考方式三：使用OBS SDK校验上传对象的一致性。 此处以使用OBS Java SDK下载mytestbucket桶中一个名为test.txt的文本文件为例，下载过程使用MD5值校验数据一致性的示例代码如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 String endPoint = "https://your-endpoint"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全；本示例以ak和sk保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY_ID。 // 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html String ak = System.getenv("ACCESS_KEY_ID"); String sk = System.getenv("SECRET_ACCESS_KEY_ID"); // 创建ObsClient实例 final ObsClient obsClient = new ObsClient(ak, sk, endPoint); // 获取对象的MD5值 ObjectMetadata metadata = obsClient.getObjectMetadata("mytestbucket", "test.txt"); String md5Origin = metadata.getUserMetadata("contentMd5"); // 计算下载后对象的MD5值 ObsObject obsobject = obsClient.getObject("mytestbucket", "test.txt"); String md5Download = obsClient.base64Md5(obsobject.getObjectContent()); // 对比MD5值 if(md5Origin.contentEquals(md5Download)) System.out.println("Object MD5 validation passes!\n"); else System.out.println("Object MD5 validation failed!\n");

方式一：使用obsutil校验下载对象的一致性 obsutil支持在下载对象时通过附加参数（vmd5）来校验下载数据的一致性。 以在Windows操作系统下载mytestbucket桶中的test.txt文件至本地为例，开启数据一致性校验的步骤如下： 执行以下命令，检查待下载对象是否具有MD5信息。 obsutil stat obs://test-bucket/test.txt 返回的对象基本信息中，包含MD5信息，如下图所示，执行步骤2。 不包含MD5信息，下载对象时无法进行一致性校验。 执行以下命令，下载对象。 obsutil cp obs://mytestbucket/test.txt D:\test.txt -vmd5 对象下载成功且通过一致性校验，回显信息如下： 如果桶中对象没有MD5值，对象能够下载成功，但不会校验一致性，回显信息如下：

方式二：使用OBS Browser+校验下载对象的一致性 OBS Browser+默认关闭MD5校验，在OBS Browser+上启用MD5校验一致性并下载对象的步骤如下： 登录OBS Browser+。 单击客户端右上方的，并选择“高级设置”。 勾选“MD5校验”，如图4所示。 图4 配置MD5校验 单击“确定”。 选择待下载文件的桶，下载文件。 如果MD5校验成功，则文件下载成功。 如果MD5校验失败，则文件下载失败，且在任务管理中提示失败原因：校验文件MD5失败。

方式一：使用obsutil校验上传对象的一致性 obsutil支持在上传对象时通过附加参数（vmd5）来校验数据的一致性。 以在Windows操作系统上传本地一个位于D盘的test.txt文件至mytestbucket桶为例，开启一致性校验的命令示例如下： obsutil cp D:\test.txt obs://mytestbucket/test.txt -vmd5 校验通过后，对象上传成功，系统显示Upload successfully的回显信息。

方式三：使用OBS SDK校验上传对象的一致性 OBS提供Java、Python等多种语言的SDK，各SDK通过在上传对象时设置对象的Content-MD5值以开启一致性校验。如何计算并设置对象MD5值请前往OBS SDK参见各自开发指南的setObjectMetadata接口。 此处以使用OBS Java SDK上传Windows本地D盘一个名为text.txt的文本文件至mytestbucket为例，上传过程使用MD5值校验数据一致性的示例代码如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 String endPoint = "https://your-endpoint"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全；本示例以ak和sk保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY_ID。 // 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html String ak = System.getenv("ACCESS_KEY_ID"); String sk = System.getenv("SECRET_ACCESS_KEY_ID"); // 创建ObsClient实例 ObsClient obsClient = new ObsClient(ak, sk, endPoint); // 计算并设置MD5值 ObjectMetadata metadata = new ObjectMetadata(); File file = new File("D:\\text.txt"); FileInputStream fis = new FileInputStream(file); InputStream is = (InputStream)fis; String contentMd5 = obsClient.base64Md5(is); metadata.setContentMd5(contentMd5); // 带MD5值上传文件 obsClient.putObject("mytestbucket", "text.txt", file, metadata); 对象数据的MD5值必须经过Base64编码。 OBS服务端会将该MD5值与对象数据计算出的MD5值进行对比，如果不匹配则上传失败，返回HTTP 400错误。如果匹配，对象上传成功，返回HTTP 200状态码。

方式二：使用OBS Browser+校验上传对象的一致性 OBS Browser+默认关闭MD5校验，在OBS Browser+上启用MD5校验一致性并上传对象的步骤如下： 登录OBS Browser+。 单击客户端右上方的，并选择“高级设置”。 勾选“MD5校验”，如图3所示。 图3 配置MD5校验 单击“确定”。 选择待上传文件的桶，上传文件。 如果MD5校验成功，则文件上传成功。 如果MD5校验失败，则文件上传失败，且在任务管理中提示失败原因：校验文件MD5失败。

方案架构 OBS提供通过计算MD5值的方式对上传下载的数据进行一致性校验。默认情况下，OBS不会进行一致性校验，您可以通过以下方式在上传下载时主动启用校验。 各种方式的一致性校验结果互通，即无论您使用以下何种方式在上传时通过了一致性校验，都可以使用其他方式在下载时校验一致性。 下载对象时，只有当待下载对象具有MD5值时，MD5校验才会生效。 启用MD5进行数据一致性校验会影响上传下载性能。 表1 校验数据一致性的方式 方式 说明 操作指导 obsutil 命令行工具，可以通过简单的一行命令实现上传下载，并且在命令中选择是否采用MD5校验。 使用obsutil校验上传对象的一致性 使用obsutil校验下载对象的一致性 OBS Browser+ 图形化界面工具，可以一键开启或关闭MD5校验，同时提供任务管理，方便查看校验状态。 使用OBS Browser+校验上传对象的一致性 使用OBS Browser+校验下载对象的一致性 OBS SDK 开发者可以通过OBS SDK进行二次开发，自行判断MD5校验结果，并根据实际业务进行结果处理。 使用OBS SDK校验上传对象的一致性 使用OBS SDK校验下载对象的一致性 上传对象时，OBS会先在客户端计算出对象的MD5值然后携带上传至OBS，OBS服务端再根据上传的对象内容计算出MD5值，最终与携带上传的MD5值进行对比，如果对比结果一致，对象上传成功，否则上传失败。使用MD5值对上传数据进行一致性校验的示意图如图1所示。 图1 校验上传对象的一致性 下载对象时，OBS会将对象已有的MD5值与根据下载的对象内容计算出来的MD5值进行对比，如果对比结果一致，对象下载成功，否则下载失败。使用MD5值对下载数据进行一致性校验的示意图如图2所示。 图2 校验下载对象的一致性

创建和配置域名托管 为了方便对您的自定义域名和静态网站统一管理，实现业务全面云化，您可以直接在华为云提供的云解析服务（Domain Name Service，DNS）上托管您的自定义域名。托管完成后，后续域名解析的管理都可以在云解析服务上进行，包括：管理记录集、管理反向解析、设置域名泛解析等等。 您也可以直接在域名注册商域名解析中，根据是否开启CDN加速来添加一条别名记录。 如果绑定自定义域名时开启了CDN加速，则添加的别名记录需指向CDN提供的加速域名。例如：域名“www.example.com”开启CDN加速后的加速域名为“www.example.com.c.cdnhwc1.com”，则需要在域名注册商添加一条值为“www.example.com CNAME www.example.com.c.cdnhwc1.com”的记录。 如果绑定自定义域名时未开启CDN加速，则添加的别名记录需指向桶的访问域名。例如：桶“example”所处区域“华北-北京一”，则需要在域名注册商添加一条值为“www.example.com CNAME example.obs.cn-north-1.myhuaweicloud.com”的记录。 使用云解析服务创建和配置域名托管的操作步骤如下： 创建公网域名。 在云解析服务中创建公网域名，使用准备工作中注册的根域名“example.com”作为创建公网域名。详细的创建方法请参见配置网站解析章节中的“添加域名”部分内容。 添加别名记录。 在云解析服务中为托管域名子域名“www.example.com”添加记录集，配置该子域名别名指向OBS的静态网站托管域名。在添加别名记录时参数配置如下： 主机记录：输入“www”。 记录类型：选择“CNAME – 将域名指向另外一个域名”。 线路类型：选择“全网默认”。 TTL(秒)：保持默认。 记录值：需指向的域名。如果绑定自定义域名时没有开启CDN加速，此处填写OBS的桶的静态网站托管域名；如果开启了CDN加速，此处填写CDN提供的加速域名（即CNAME）。 详细的创建方法请参见增加CNAME类型记录集。 在域名注册商处修改域名解析服务器地址。 在域名注册商处，将该根域名对应的NS记录中域名解析服务器地址修改为云解析服务（DNS）服务器的地址，具体地址为云解析服务中该公网域名记录集中NS记录的值字段内容信息。 详细的更改域名解析服务器地址的方法请参见配置网站解析章节中的“更改域名的DNS服务器”部分。 更改后的域名解析服务器地址将于48小时内生效，具体生效时间请以域名注册商处的说明为准。

（后续操作）更新静态网站 后续如果需要对网站某个静态文件（如：图片、音乐、html文件、css文件等）进行更新，您可以重新上传该静态文件。但需要注意的是，默认情况下，在OBS同一路径下新上传的文件会覆盖OBS上已存在的同名文件。为避免文件覆盖的情况，您可以选择启用OBS的多版本控制功能。利用多版本控制，可以保留静态文件的多个版本，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。

更新静态文件 登录OBS管理控制台。 在桶列表中单击待操作的桶，进入对象页面。 单击“上传对象”，或选择待更新文件所在文件夹后单击“上传对象”。 图13 上传对象 添加待上传文件。 不可加密上传静态网站文件。 存储类别建议选择“标准存储”。如果静态网站文件的存储类别为“归档存储”，则需要先恢复才能被访问，具体恢复步骤请参见恢复归档存储文件。 单击“上传”完成文件上传。 在同一路径下新上传的同名文件会作为“最新版本”显示在对象列表，每次访问此文件时，都是访问的此文件的最新版本，以此达到更新静态网站文件的效果。

配置加速域名 单击桶名称进入“对象”页面，在左侧导航栏选择“域名管理”。 单击页面上方的“配置加速域名”，弹出“配置加速域名”页面，如图7所示。 图7 配置加速域名 选择“服务范围”，选择“业务类型”，设置“加速域名”，单击“确定加速”。 根据页面提示，支持单击“一键解析”，或手动完成解析CNAME，单击右下角的“我已了解”，如图8所示。 华为云域名支持一键解析添加CNAME记录；非华为云域名不支持一键解析，请用户自行配置解析规则。 图8 解析CNAME 支持使用“自动刷新缓存”功能，如图9所示，在域名管理列表，找到需要创建自动刷新缓存的域名卡片，在“自动刷新缓存”的右侧单击“配置”，单击开启“自动刷新缓存”开关，出现配置页面。 图9 配置自动刷新缓存 配置自动刷新策略参数，完成后单击“确定配置”。 表2 事件触发器参数说明 参数 说明 事件 自动刷新策略生效的事件类型。目前，OBS支持以下事件类型： ObjectCreated：表示所有创建对象的操作，包含Put、Post、Copy对象以及合并段。 Put：Put上传对象事件。 Post：Post上传对象事件。 Copy：使用Copy方法复制对象事件。 CompleteMultipartUpload：表示合并分段任务。 ObjectRemoved：表示删除对象的操作。 Delete：删除对象事件。 前缀 自动刷新策略生效对象的前缀。 说明： 当前不支持目录刷新，前缀不能以“/”结尾。 后缀 自动刷新策略生效对象的后缀。 说明： 当前不支持目录刷新，后缀不能以“/”结尾。 IAM委托 在使用OBS的部分特性时，需要使用IAM委托功能给OBS授予相关的权限，以委托OBS处理您的数据。 如果开启了CDN加速，需要按照以下步骤配置CDN源站信息。 在已绑定的自定义域名操作列，单击“管理CDN加速”。 在打开的CDN控制台页面，单击域名，进入域名基本配置页面。 在“源站配置”区域单击“编辑”按钮，在弹出的“修改源站信息”弹框中，勾选“静态网站托管”。 单击“确定”。 在“高级配置”中添加“Content-Disposition”响应头，取值为“inline”。 使能CDN加速后，根据托管的静态网站类型选择网站加速、文件下载加速或点播加速。CDN加速需收费，具体请参见CDN价格说明。

创建桶 桶名没有特殊要求，您只需要按照界面提示的命名规则创建一个桶用于存储静态网站文件。此处以创建一个桶名称为example的桶为例，其具体操作步骤如下： 打开OBS管理控制台，根据页面提示进行登录。 在页面右上角单击“创建桶”。 在弹出的对话框中配置以下参数。 区域：根据就近原则选择离业务较近的区域。 默认存储类别：推荐选择“标准存储”。 您也可以根据网站的访问频率以及对响应速度的要求，选择“低频访问存储”或“归档存储”。存储类别详细介绍请参见桶存储类别简介。 桶名称：输入“example”。 桶策略：选择“公共读”使桶内对象能够被任何用户访问。 服务端加密：选择“不开启加密”。 企业项目：请先创建企业项目，默认为default企业项目，然后在创建桶时选择对应企业项目。仅企业账号能够配置企业项目。 单击“立即创建”，完成桶创建。

上传静态网站文件 整理好待上传的静态网站文件，在OBS控制台重复执行以下步骤，直至所有的静态网站文件都上传至准备工作创建的桶中。 在支持批量上传的区域，OBS控制台每次最多支持100个文件同时上传，总大小不超过5GB，如果网站文件较多，建议使用OBS Browser+上传，具体操作步骤请参见使用OBS Browser+上传文件或文件夹。 单击待操作的桶名称，进入桶对象页面。 单击“上传对象”，系统将弹出如下所示对话框。 图3 上传对象 添加待上传的文件。 不可加密上传静态网站文件。 存储类别建议选择“标准存储”。如果静态网站文件的存储类别为“归档存储”，则需要先恢复才能被访问，具体恢复步骤请参见恢复归档存储文件。 网站首页文件（index.html）和404错误页面（error.html），需要存放在桶的根目录下。 单击“上传”完成文件上传。

配置自定义域名 单击桶名称进入“对象”页面，在左侧导航栏选择“域名管理”。 单击页面上方的“配置自定义域名”，如果没有绑定自定义域名也可以在页面下方的配置自定义域名卡片中单击“配置自定义域名”，在“用户域名”输入“www.example.com”，如下所示。 图5 配置自定义域名 单击“确定”。 根据页面提示，支持单击“一键解析”，或手动完成解析CNAME，单击右下角的“我已了解”，如图6所示。 华为云域名支持一键解析添加CNAME记录；非华为云域名不支持一键解析，请用户自行配置解析规则。 图6 解析CNAME （可选）配置CDN加速。 CDN加速需收费，具体请参见CDN价格说明。 在已绑定的自定义域名操作列，单击“开启加速”。 根据您的业务情况选取对应的“服务范围”和“业务类型”。 在“其他信息”栏目，勾选开启静态网站托管。 单击“确定加速”。 （可选）如果开启了CDN加速，需要按照以下步骤配置CDN加速。 在已绑定的自定义域名操作列，单击“管理CDN加速”。 在打开的CDN控制台页面，单击域名，然后再单击“高级配置”，进入域名高级配置页面。 在“高级配置”中的“HTTP header配置”中，添加“Content-Disposition”响应头，取值为“inline”。

方案说明 OBS提供低成本的存储，华为云CDN可以提供网站加速、文件下载加速和点播加速。将数据存放在OBS中然后通过配置CDN加速，这样构造的业务系统可以在降低成本的同时，提高终端用户使用感受。当终端用户发起访问请求时，会首先通过CDN查找对此域名响应速度最快的CDN节点，并查询此节点是否有缓存终端用户请求的内容。 在CDN节点没有缓存用户请求的数据或缓存到期的情况下，CDN加速访问OBS的示意图如图2所示。 图2 CDN加速访问OBS示意图（CDN无缓存） 当其他终端用户再次访问相同的数据时，CDN将直接返回缓存的数据给终端用户，而无需再向OBS发起访问请求。在CDN有缓存的情况下，CDN加速访问OBS的示意图如图3所示。 图3 CDN加速访问OBS示意图（CDN有缓存） 方案优势 低成本：OBS提供CDN回源流量包折扣方式，使CDN从OBS获取数据时流量费用更低。当数据缓存至CDN节点时，后续请求都将通过CDN回源流量计费，从而减少OBS费用。 高效率：华为云CDN具有加速资源丰富、节点分布广泛优势，保证将用户请求精准调度至更优的边缘节点，提供有效且稳定的加速效果。 适用场景 通过OBS提供文件下载业务的应用或服务。例如：通过http/https提供文件下载业务的网站、工具下载、游戏客户端、APP商店等。 通过OBS提供音 视频点播 业务的应用或服务。例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。

资源与成本规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 资源和成本规划内容说明 维度 说明 资源规划 必选 OBS：存放图片、软件包等静态资源的桶，存储类别为“标准存储”或“低频访问存储”（归档与深度归档存储不支持直接配置CDN加速），桶策略为“私有”。 CDN：提供点播加速。 DNS：通过在域名服务商处配置CNAME记录，将加速域名以CNAME方式指向CDN服务中对应的CNAME域名，域名解析生效后，该域名的所有请求都将转向CDN节点。 网站域名：根据中国《互联网管理条例》的要求，此域名必须在工信部已备案并在有效期内才可以使用CDN加速。 成本规划 必选 OBS费用：详见OBS计费说明。 CDN费用：详见CDN计费说明。 可选 回源流量包：当回源获取数据时，CDN访问OBS会产生回源流量。OBS提供回源流量包，可以减少回源流量产生的流量费用。 须知： 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

背景介绍 现在越来越多的行业使用OBS存储图片、视频、软件包等静态资源文件，并将OBS作为网站、论坛、APP、游戏等业务的存储源。在需要获取这些静态资源时，用户通过URL直接从OBS请求数据，数据请求过程如图1所示。OBS能够很好的解决本地存储不够用的难题，但一般情况下文件只存储在一个区域，不同区域的用户访问OBS的响应速度存在差异。在需要频繁访问的场景下，直接访问OBS来获取相应文件，还会消耗大量的流量费用。 图1 从OBS获取数据过程

方案架构 在已搭建的ECS上通过配置内网DNS，由内网DNS解析OBS域名，即可实现在ECS上经由内网访问OBS。访问过程示意图如图1所示。 图1 内网访问OBS示意图 对于Windows ECS，推荐使用OBS Browser+工具，实现内网访问OBS的目的，详细操作请参见： 在Windows ECS上使用OBS Browser+通过内网访问OBS 对于Linux ECS，推荐使用obsutil工具，实现内网访问OBS的目的，详细操作请参见： 在Linux ECS上使用obsutil通过内网访问OBS 当在ECS上通过内网访问OBS时，即可在内网进行数据读取、备份归档等业务，而不影响外网带宽。

资源成本及规划 最佳实践中涉及的资源如下： 表1 资源说明 资源 资源说明 弹性云服务器（ECS） Windows系统：需安装OBS Browser+ Linux系统：需安装obsutil 对象存储服务（OBS） OBS作为数据存储资源池，以减轻服务器负担。 须知： 确保待访问的OBS资源与ECS属于同一个区域。如果不属于同一个区域，将采用公网访问。 虚拟私有云（VPC） VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 子网是VPC中用来为ECS提供IP地址管理、DNS服务的一个网络，子网内ECS的IP地址都属于该子网。 云解析服务（DNS） DNS提供内网DNS，专门用于处理华为云内网域名以及OBS域名的解析请求，简化域名解析流程，减少因访问公网产生的流量费用。

应用场景 某企业基于弹性云服务器（Elastic Cloud Server，ECS）构建好基础的业务后，随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。了解到华为云提供有海量、弹性的云存储服务OBS后，决定将OBS作为数据存储资源池，以减轻服务器负担。 在ECS上可以通过公网和华为云内网两种网络访问OBS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OBS。 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，例如都在华北-北京四。如果不属于同一个区域，将采用公网访问。

备份流程 安装和预配置备份软件 在备份SAP HANA场景下，需要安装和配置备份服务器（CommServe）、备份介质（MediaAgent）及SAP HANA备份客户端代理（iDataAgent）三个组件。 创建备份存储空间（OBS桶） 登录OBS控制台，创建一个桶，作为备份数据存储空间。详细创建桶操作请参见创建桶。 在CommCell Console上创建云存储库，输入OBS终端节点地址、访问密钥、桶名，用以将Commvault的备份介质（MediaAgent）与OBS关联。 CommCell Console是用于管理CommCell环境、监视和控制活动作业以及查看与活动相关的事件的图形用户界面。 制定Commvault备份策略 在Commcell Console上创建备份策略，指定数据备份的周期、时间以及加密方式等。 检查备份执行情况 备份策略执行期间，用户可以通过Commcell Console查看备份执行情况。 （可选）执行数据恢复 在SAP HANA源机上执行数据恢复。 Commvault的具体操作请参见Commvault官方文档。

使用场景 传统的备份与恢复方案需要将备份数据写入磁带等存储设备，然后再运输至数据中心。在此过程中数据的安全及完整性依赖很多因素，比如硬件、人员等等。无论是从前期搭建数据中心还是后期的维护，都使得传统的备份与恢复方案面临着管理复杂、投入成本高的难题。 云存储定位于简单、安全、高效且低成本，使其成为磁带等传统存储设备的非常有吸引力的替代品。OBS即一种云存储服务，它提供海量、可弹性扩展的存储服务。OBS所有的业务、存储节点采用分布集群方式工作使得OBS的可扩展性更高。提供数据多份冗余、一致性检查等功能使得存储在OBS中的数据更加安全、可靠。OBS按照使用量付费，使得成本易于预测。 Commvault、爱数云备份服务（AnyBackup Cloud）等第三方备份软件，都支持对接OBS进行数据备份。通过这些备份软件，用户可以根据自身需求制定合适的备份策略，达到安全、高效的备份目的。

逻辑架构 此处以使用Commvault备份本地单节点部署的SAP HANA为例，其逻辑架构如图1所示。 图1 逻辑架构 逻辑架构中各组件说明如表1所示： 表1 组件说明 Name 说明 iDataAgent (iDA) 备份客户端代理，Commvault备份软件的组成部分，部署在SAP HANA节点上，负责获取SAP HANA上需要备份的数据。 CommServe (CS) 备份服务器，Commvault备份软件的组成部分，部署在备份管理节点，负责全局备份策略的制定和备份业务的调度。 Media Agent (MA) 备份介质，Commvault备份软件的组成部分，部署在备份业务节点，负责直接将备份数据存储至OBS。 OBS 在备份场景下OBS负责存储备份数据，桶是OBS中存储数据的容器，最终数据都存储在OBS桶中。 一个CommCell是一个备份管理域 ，是软件的逻辑组合 ，包含获取数据 、传输数据 、管理数据和信息的所有软件组件。

迁移示例 阿里云OSS迁移至华为云OBS 本方案介绍了如何将阿里云对象存储（Object Storage Service，简称OSS）上的数据迁移到华为云 对象存储OBS 。 具体方案请参见操作教程。 腾讯云COS迁移至华为云OBS 本方案介绍了如何将腾讯云对象存储（Cloud Object Storage，简称COS）上的数据迁移到华为云对象存储OBS。 具体方案请参见操作教程。 七牛云迁移至华为云OBS 本方案介绍了如何将七牛云对象存储（Kodo）上的数据迁移到华为云对象存储OBS。 具体方案请参见操作教程。 百度云BOS迁移至华为云OBS 本方案介绍了如何将百度云对象存储BOS(Baidu Object Storage，简称BOS）上的数据迁移到华为云对象存储OBS。 具体方案请参见操作教程。 优刻得US3迁移至华为云OBS 本方案介绍了如何将优刻得对象存储（US3）上的数据迁移到华为云对象存储OBS。 具体方案请参见操作教程。 金山云KS3迁移至华为云OBS 本方案介绍了金山云对象存储（Kingsoft Standard Storage Service，简称KS3）上的数据迁移到华为云对象存储OBS。 具体方案请参见操作教程。 HTTP/HTTPS数据源迁移至华为云OBS 本方案介绍了如何将网络资源迁移至华为云对象存储OBS。 具体方案请参见操作教程。

OBS镜像回源方式 一般情况下，当客户端访问OBS时，如果OBS中没有被访问的数据，将会返回404错误。OBS提供镜像回源功能，可以在被请求的数据不存在时，通过回源规则从源站获取对应数据。 用户为桶定义镜像回源规则后，如果客户端访问OBS桶中不存在的资源，且该资源符合镜像回源规则，OBS将以镜像回源的方式去数据源站获取资源，将该资源上传到OBS中并返回给客户端。整个过程不中断业务，适用于客户源站无缝迁移数据到OBS，用户可以在无感知的情况下，低成本地迁移业务到OBS上来。镜像回源流程如图2所示。 图2 镜像回源流程 配置方法请参见创建镜像回源规则。