华为云在Linux ECS上使用obsutil通过内网访问OBS

obsutil是适用于Windows、macOS和Linux操作系统的命令行工具，支持通过配置内网DNS服务器地址的方式，使在华为云上的Linux ECS通过内网直接访问OBS，下面将介绍其具体操作流程和操作步骤。

注意：

obsutil需通过公网下载，或者从其他可以访问公网的云服务器下载后传到当前云服务器安装。

流程

图1 在Linux ECS上使用obsutil通过内网访问OBS的流程

操作步骤

1. 登录Linux ECS
   1. 登录华为云，在页面右上角单击“控制台”，进入“管理控制台”页面。
   2. 在打开的控制台首页，选择“计算 > 弹性云服务器”。
   3. 选择待登录的云服务器，登录弹性云服务器。

      由于购买Linux ECS时设置的登录鉴权方式不同，登录方式因此也存在差异，不同方式登录的具体操作请参见登录Linux弹性云服务器。

2. 查看Linux ECS是否已配置内网DNS
   1. 成功登录Linux ECS后，打开命令行终端。
   2. 运行cat /etc/resolv.conf命令，查看首行“nameserver”后的IP地址是否为当前ECS所在区域的内网DNS地址。说明：

      华为云针对各区域提供了不同的内网DNS服务器地址，具体请参见华为云提供的内网DNS服务器地址。

      • 否，执行3。
      • 是，执行5。
3. 配置内网DNS

   修改ECS的DNS服务器地址为华为云提供的内网DNS，可以通过修改VPC子网DNS地址和修改本地DNS配置两种方式实现。

   • 方式一：修改VPC子网DNS地址

     确定ECS所在VPC，并修改VPC子网的DNS服务器地址为内网DNS地址后，可以使整个VPC内的ECS都通过内网DNS进行解析，从而访问在华为云内网的OBS服务。详细操作请参见修改子网网络信息。

     说明：

     内网DNS服务器地址需根据ECS所在区域选择内网DNS服务器地址，具体的地址信息请参见华为云提供的内网DNS服务器地址。

   • 方式二：修改本地DNS配置

     此处以CentOS 6.x 64bit弹性云服务器为例，介绍如何修改本地DNS配置。

     1. 打开命令行终端。
     2. 运行以下命令，打开“/etc/resolv.conf”文件。

        vi /etc/resolv.conf

     3. 按下i键进入编辑模式，在“/etc/resolv.conf”文件中按照以下格式，在原有的DNS服务器地址之前新增内网DNS服务器地址。

        nameserver 内网DNS服务器地址

        说明：
        • 内网DNS服务器地址：需要根据ECS所在区域选择内网DNS服务器地址，具体的地址信息请参见华为云提供的内网DNS服务器地址。
        • 新增的DNS服务器地址必须位于所有原有的DNS服务器地址之前。
        • DNS服务器按照nameserver顺序选择，且仅在前一个DNS服务器出现故障、不可用或无法解析请求的域名时，才选择下一个DNS服务器。因此，后续如果想切换成公网方式，需要将首行DNS地址改为公网的DNS，或者在已有DNS服务器地址前增加一条公网DNS服务器地址。
     4. 按下Esc键，并输入:wq!，保存并退出文件。说明：

        修改后的DNS地址在保存“/etc/resolv.conf”文件的修改操作后立即生效。

4. 确认是否已经是内网访问OBS

   具体方法请参见如何判断是否内网访问OBS？

5. 下载obsutil

   obsutil最新版本和下载链接请参见下载obsutil。

6. 配置obsutil

   使用obsutil之前，您需要配置obsutil与OBS的对接信息，包括OBS终端节点（Endpoint）和访问密钥（AK和SK）。具体操作请参见obsutil指南的初始化配置章节。

   说明：

   其中OBS终端节点（Endpoint）需要根据ECS所在区域输入。OBS区域和终端节点信息请参见地区和终端节点。

7. 使用obsutil

   obsutil配置成功后，便可以在Linux ECS上直接通过内网访问OBS，进行基本的数据存取操作以及其他的高级设置操作。

   常见的数据存储操作请参见：

   • 上传对象
   • 下载对象

   详细使用指南请参见对象存储服务工具指南（obsutil）。

父主题： 在ECS上通过内网访问OBS

如何判断是否内网访问OBS？ 

假设某用户拥有一台华北-北京四区域的ECS，同时拥有一个华北-北京四区域的OBS桶（桶名为example-bucket）。

判断是否内网访问的方法如下：

在ECS中ping需要确认的OBS桶的全局域名，如果响应的IP地址为100网段或214网段，则说明ECS访问此OBS桶为内网访问。

OBS桶的全局域名格式为：桶名.obs.myhuaweicloud.com

例如在华为-北京四的ECS上，执行ping example-bucket.obs.myhuaweicloud.com。

图1 响应信息

初始化配置

使用obsutil之前，您需要配置obsutil与OBS的对接信息，包括OBS终端节点地址（Endpoint）和访问密钥（AK和SK）。获得OBS的认证后，才能使用obsutil执行OBS桶和对象的相关操作。

前提条件

• 已下载obsutil软件包，具体请参见下载和安装obsutil。
• 已获取OBS当前开通的区域和终端节点地址，您可以从这里查看。例如，访问区域为华为-北京四，则实际的OBS服务地址为：https://obs.cn-north-4.myhuaweicloud.com。
• 已获取访问密钥（AK和SK），具体操作请参见准备环境。您可以从这里进入访问密钥的管理界面。

配置方法

方式一，您可以通过config命令对obsutil进行初始化配置（关于config的详细介绍，参见更新配置文件），示例如下：

• Windows操作系统

  使用永久AK、SK进行初始化配置：

  obsutil config -i=ak -k=sk -e=endpoint

  使用临时AK、SK、SecurityToken进行初始化配置：

  obsutil config -i=ak -k=sk -t=token -e=endpoint

• macOS/Linux操作系统

  使用永久AK、SK进行初始化配置：

  ./obsutil config -i=ak -k=sk -e=endpoint

  使用临时AK、SK、SecurityToken进行初始化配置：

  ./obsutil config -i=ak -k=sk -t=token -e=endpoint

说明：

• 以上命令运行后，会在运行obsutil命令的用户目录（macOS/Linux操作系统的“~”目录；Windows操作系统的“C:\Users\<username>”目录。）下自动生成一个名为.obsutilconfig的配置文件，它包含了obsutil的所有配置信息。
• .obsutilconfig的配置文件中的详细配置参数说明请参见配置参数说明。
• .obsutilconfig文件中保存有用户的AK和SK等信息，为避免密钥泄露，.obsutilconfig默认为隐藏文件，您可以在运行obsutil命令的用户目录下通过使用以下命令查看到该文件：
  • Windows操作系统

    dir 

  • macOS/Linux操作系统

    ls -a 

    或

    ls -al

• obsutil会对.obsutilconfig文件中的AK和SK进行加密以保护密钥安全。
• 注意：通过-i、-k、-e配置用户认证信息，linux操作系统的history命令可查询配置参数值，请妥善使用该操作。

方式二，您可以利用obsutil自动获取访问密钥特性实现初始化配置。

检查连通性

配置完成后，您可以通过如下方式检查连通性，确认配置是否无误。

• Windows操作系统

  obsutil ls -s

• macOS/Linux操作系统

  ./obsutil ls -s

根据命令回显结果，检查配置结果：

• 如果返回结果中包含“Bucket number is:”，表明配置正确。
• 如果返回结果中包含“Http status [403]”，表明访问密钥配置有误。
• 如果返回结果中包含“A connection attempt failed”，表明无法连接OBS服务，请检查网络环境是否正常。

说明：

如果返回结果中包含“Http status [403]”，也可能是没有获取桶列表的权限，需要视具体场景进一步确认根因。

下载和安装obsutil

快速安装

在不同操作系统，下载obsutil的方式也有所不同，下载后无需安装，即可开始使用。

• Windows操作系统
  1. 在浏览器中打开表格中对应的下载地址将obsutil工具下载至本地。
  2. 下载完成后，将其解压至指定文件夹。
  3. 在解压后的文件夹中双击运行obsutil.exe即可开始使用。说明：

     您也可以使用cmd进入obsutil.exe的上一级目录执行obsutil命令。两种方式的命令行结构有所不同，详细请参见命令行结构。

• Linux操作系统
  1. 打开命令行终端，执行wget命令下载obsutil工具。

     wget https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsutil/current/obsutil_linux_amd64.tar.gz

     说明：

     您也可以在一台Windows计算机上下载到软件包后，通过常见的跨平台传输工具（比如WinSCP）传输至您的Linux运行机。

  2. 在软件包所在目录，执行以下解压命令。

     tar -xzvf obsutil_linux_amd64.tar.gz

  3. 进入obsutil所在目录，执行以下命令，为obsutil增加可执行权限。

     chmod 755 obsutil

• macOS
  1. 在浏览器中打开表格中对应的下载地址将obsutil工具下载至本地。
  2. 下载完成后，将其解压至指定文件夹。
  3. 打开命令行终端，进入obsutil所在目录，执行以下命令，为obsutil增加可执行权限。

     chmod 755 obsutil

• 对象存储服务 OBS

• 区域名称	区域	终端节点（Endpoint）	协议类型
  非洲-约翰内斯堡	af-south-1	obs.af-south-1.myhuaweicloud.com	HTTPS/HTTP
  华北-北京四	cn-north-4	obs.cn-north-4.myhuaweicloud.com	HTTPS/HTTP
  华北-北京一	cn-north-1	obs.cn-north-1.myhuaweicloud.com	HTTPS/HTTP
  华北-乌兰察布一	cn-north-9	obs.cn-north-9.myhuaweicloud.com	HTTPS/HTTP
  华东-上海二	cn-east-2	obs.cn-east-2.myhuaweicloud.com	HTTPS/HTTP
  华东-上海一	cn-east-3	obs.cn-east-3.myhuaweicloud.com	HTTPS/HTTP
  华南-广州	cn-south-1	obs.cn-south-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-墨西哥城二	la-north-2	obs.la-north-2.myhuaweicloud.com	HTTPS/HTTP
  拉美-墨西哥城一	na-mexico-1	obs.na-mexico-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-圣保罗一	sa-brazil-1	obs.sa-brazil-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-圣地亚哥	la-south-2	obs.la-south-2.myhuaweicloud.com	HTTPS/HTTP
  西南-贵阳一	cn-southwest-2	obs.cn-southwest-2.myhuaweicloud.com	HTTPS/HTTP
  亚太-曼谷	ap-southeast-2	obs.ap-southeast-2.myhuaweicloud.com	HTTPS/HTTP
  亚太-新加坡	ap-southeast-3	obs.ap-southeast-3.myhuaweicloud.com	HTTPS/HTTP
  中国-香港	ap-southeast-1	obs.ap-southeast-1.myhuaweicloud.com	HTTPS/HTTP

华为云提供的内网DNS地址是多少？

内网DNS是华为云云解析服务提供的专门用于在VPC内使用的DNS，主要负责：

• 处理内网域名以及其他云服务域名（如OBS）的解析请求。
• 代理其他公网域名的解析请求。

华为云的内网DNS与公共DNS（114.114.114.114）相比，有以下优势：

• 可以解析基于VPC创建的内网域名。
• 可以访问华为云服务内部地址，例如OBS，SMN等。
• 可以使ECS不用绑定EIP访问公网域名解析记录。

华为云提供的内网DNS地址如表1所示。

说明：

• 建议ECS所在VPC子网的“DNS服务器地址”配置为各区域的内网DNS地址，如表1所示。
• 如果“DNS服务器地址”配置为其他外部DNS，则ECS对华为云云服务的访问会解析到公网IP，可能产生额外的公网流量费用。
• 当ECS访问第三方互联网域名时，华为云内网DNS承担递归DNS角色，由该域名的权威DNS返回最终解析结果。解析结果是否可靠或者最优，依赖第三方域名权威DNS等不可控因素。建议ECS尽量访问云服务的内网域名。

这篇好文章是转载于：学新通技术网