检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置双端固定实现VPC粒度的访问控制 操作场景 使用“双端固定”特性,即同时设置VPC终端节点策略与桶策略,可以对OBS的资源提供VPC粒度的权限控制。
虚拟私有云(VPC) VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。 子网是VPC中用来为ECS提供IP地址管理、DNS服务的一个网络,子网内ECS的IP地址都属于该子网。
方式一:修改VPC子网DNS地址 确定ECS所在VPC,并修改VPC子网的DNS服务器地址为内网DNS地址后,可以使整个VPC内的ECS都通过内网DNS进行解析,从而访问在华为云内网的OBS服务。详细操作请参见修改子网网络信息。
创建VPC 虚拟私有云可以为您构建隔离的、用户自主配置和管理的虚拟网络环境,操作指导请参考创建虚拟私有云和子网。 创建SFS Turbo HPC型文件系统 创建SFS Turbo文件系统,文件系统类型选择“HPC型”,操作指导请参考创建SFS Turbo文件系统。
区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。
建议搭配服务 内容分发网络 CDN,弹性云服务器 ECS 图2 静态网站托管 在线视频点播 场景描述 OBS提供高并发、高可靠、低时延、低成本的海量存储系统,结合媒体处理MPC、内容审核Moderation和内容分发网络CDN可快速搭建极速、安全、高可用的视频在线点播平台。
方式一:修改VPC子网DNS地址 确定ECS所在VPC,并修改VPC子网的DNS服务器地址为内网DNS地址后,可以使整个VPC内的ECS都通过内网DNS进行解析,从而访问在华为云内网的OBS服务。详细操作请参见修改子网网络信息。
如果您想提升上传、下载速率,可考虑配合VPCEP终端节点使用OBS,如何使用请参见使用VPCEP访问OBS,配合使用优点如下: 在访问对象存储时会选择更优的流量路径,能支持更大的峰值带宽。 可以支持配置VPC访问配置,提升对象存储访问的安全性。
配置VPC终端节点 在VPC终端节点中创建DNS终端节点和OBS终端节点,在本地数据中心配置DNS转发规则、DNS路由以及OBS路由。具体操作参见配置通过内网访问OBS服务的终端节点。
2 创建资源 创建VPC:创建1个虚拟私有云和子网。 创建SFS Turbo HPC型文件系统:创建1个SFS Turbo文件系统,文件系统类型选择“HPC型”,存储类型请根据存储容量和性能需求选择,AI场景建议选择250MB/s/TiB及以上的存储类型。
配置VPC终端节点 在VPC终端节点中创建DNS终端节点和OBS终端节点,在本地数据中心配置DNS转发规则、DNS路由以及OBS路由。具体操作参见配置通过内网访问OBS服务的终端节点。
建议使用双端固定,即同时设置VPC终端节点策略与桶策略,对OBS的资源进行权限控制 设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;同时,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保证
在内网访问OBS的场景下,如果想要限制指定私网IP地址访问桶,需要购买网关型VPCEP终端节点(服务类别选择“按名称查找服务”,获取服务名称请提交工单,技术人员将为您提供)。通过VPCEP终端节点访问桶,OBS侧感知到的源IP即为私网IP,桶策略可直接针对私网IP进行访问限制。
数据安全 服务端加密 配置对象锁定(WORM)防止对象被更改或删除 配置CORS实现跨域访问OBS 配置防盗链防止非法流量盗用 配置双端固定实现VPC粒度的访问控制
如何确认我已创建的桶是私有、公共读还是公共读写? 操作步骤 在OBS管理控制台左侧导航栏选择“桶列表”。 桶列表支持按照“桶策略”进行筛选,您可以单击参数后的按钮,勾选“桶策略”进行筛选。 图1 查看桶策略 父主题: 权限相关
VPC:虚拟私有云和子网。 算法及数据:准备AI训练需要的算法及数据集,如Swin-Transformer算法,及ImageNet21K数据集。
支持的值: private public-read public-read-write 说明: 以上三个值分别对应:私有读写、公共读、公共读写,三种预定义访问策略。 aclXml 附加参数,可选 桶的访问策略(xml格式表示)。
登录ModelArts管理控制台,创建网络并打通创建资源中创建的创建虚拟私有云和子网,详细步骤参见ModelArts网络。 单击1中创建生成的资源池“网络”所在行的“更多”,选择“关联sfsturbo”。
支持多版本控制、敏感操作保护、服务端加密、防盗链、VPC网络隔离、访问日志审计以及细粒度的权限控制,保障数据安全可信。
使用单链接限速限制下载流量 使用场景 为了避免因为客户端访问OBS内的对象时占用较大的带宽,而影响其他应用的网络带宽。您可以使用OBS单链接限速功能,通过限制下载的流量,保证其他应用的网络带宽。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
