父主题： 在ECS上通过内网访问OBS

如何判断是否内网访问OBS？ 

假设某用户拥有一台华北-北京四区域的ECS，同时拥有一个华北-北京四区域的OBS桶（桶名为example-bucket）。

判断是否内网访问的方法如下：

在ECS中ping需要确认的OBS桶的全局域名，如果响应的IP地址为100网段或214网段，则说明ECS访问此OBS桶为内网访问。

OBS桶的全局域名格式为：桶名.obs.myhuaweicloud.com

例如在华为-北京四的ECS上，执行ping example-bucket.obs.myhuaweicloud.com。

图1 响应信息

初始化配置

使用obsutil之前，您需要配置obsutil与OBS的对接信息，包括OBS终端节点地址（Endpoint）和访问密钥（AK和SK）。获得OBS的认证后，才能使用obsutil执行OBS桶和对象的相关操作。

前提条件

• 已下载obsutil软件包，具体请参见下载和安装obsutil。
• 已获取OBS当前开通的区域和终端节点地址，您可以从这里查看。例如，访问区域为华为-北京四，则实际的OBS服务地址为：https://obs.cn-north-4.myhuaweicloud.com。
• 已获取访问密钥（AK和SK），具体操作请参见准备环境。您可以从这里进入访问密钥的管理界面。

配置方法

方式一，您可以通过config命令对obsutil进行初始化配置（关于config的详细介绍，参见更新配置文件），示例如下：

说明：

• 以上命令运行后，会在运行obsutil命令的用户目录（macOS/Linux操作系统的“~”目录；Windows操作系统的“C:\Users\”目录。）下自动生成一个名为.obsutilconfig的配置文件，它包含了obsutil的所有配置信息。
• .obsutilconfig的配置文件中的详细配置参数说明请参见配置参数说明。
• .obsutilconfig文件中保存有用户的AK和SK等信息，为避免密钥泄露，.obsutilconfig默认为隐藏文件，您可以在运行obsutil命令的用户目录下通过使用以下命令查看到该文件：
  • Windows操作系统

    dir 

  • macOS/Linux操作系统

    ls -a 

    或

    ls -al

• obsutil会对.obsutilconfig文件中的AK和SK进行加密以保护密钥安全。
• 注意：通过-i、-k、-e配置用户认证信息，linux操作系统的history命令可查询配置参数值，请妥善使用该操作。

方式二，您可以利用obsutil自动获取访问密钥特性实现初始化配置。

检查连通性

配置完成后，您可以通过如下方式检查连通性，确认配置是否无误。

• Windows操作系统

  obsutil ls -s

• macOS/Linux操作系统

  ./obsutil ls -s

根据命令回显结果，检查配置结果：

• 如果返回结果中包含“Bucket number is:”，表明配置正确。
• 如果返回结果中包含“Http status [403]”，表明访问密钥配置有误。
• 如果返回结果中包含“A connection attempt failed”，表明无法连接OBS服务，请检查网络环境是否正常。

说明：

如果返回结果中包含“Http status [403]”，也可能是没有获取桶列表的权限，需要视具体场景进一步确认根因。

下载和安装obsutil

快速安装

在不同操作系统，下载obsutil的方式也有所不同，下载后无需安装，即可开始使用。

• Windows操作系统
  1. 在浏览器中打开表格中对应的下载地址将obsutil工具下载至本地。
  2. 下载完成后，将其解压至指定文件夹。
  3. 在解压后的文件夹中双击运行obsutil.exe即可开始使用。说明：

     您也可以使用cmd进入obsutil.exe的上一级目录执行obsutil命令。两种方式的命令行结构有所不同，详细请参见命令行结构。

• Linux操作系统
  1. 打开命令行终端，执行wget命令下载obsutil工具。

     wget https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsutil/current/obsutil_linux_amd64.tar.gz

     说明：

     您也可以在一台Windows计算机上下载到软件包后，通过常见的跨平台传输工具（比如WinSCP）传输至您的Linux运行机。

  2. 在软件包所在目录，执行以下解压命令。

     tar -xzvf obsutil_linux_amd64.tar.gz

  3. 进入obsutil所在目录，执行以下命令，为obsutil增加可执行权限。

     chmod 755 obsutil

• macOS
  1. 在浏览器中打开表格中对应的下载地址将obsutil工具下载至本地。
  2. 下载完成后，将其解压至指定文件夹。
  3. 打开命令行终端，进入obsutil所在目录，执行以下命令，为obsutil增加可执行权限。

     chmod 755 obsutil

• 对象存储服务 OBS

• 区域名称	区域	终端节点（Endpoint）	协议类型
  非洲-约翰内斯堡	af-south-1	obs.af-south-1.myhuaweicloud.com	HTTPS/HTTP
  华北-北京四	cn-north-4	obs.cn-north-4.myhuaweicloud.com	HTTPS/HTTP
  华北-北京一	cn-north-1	obs.cn-north-1.myhuaweicloud.com	HTTPS/HTTP
  华北-乌兰察布一	cn-north-9	obs.cn-north-9.myhuaweicloud.com	HTTPS/HTTP
  华东-上海二	cn-east-2	obs.cn-east-2.myhuaweicloud.com	HTTPS/HTTP
  华东-上海一	cn-east-3	obs.cn-east-3.myhuaweicloud.com	HTTPS/HTTP
  华南-广州	cn-south-1	obs.cn-south-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-墨西哥城二	la-north-2	obs.la-north-2.myhuaweicloud.com	HTTPS/HTTP
  拉美-墨西哥城一	na-mexico-1	obs.na-mexico-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-圣保罗一	sa-brazil-1	obs.sa-brazil-1.myhuaweicloud.com	HTTPS/HTTP
  拉美-圣地亚哥	la-south-2	obs.la-south-2.myhuaweicloud.com	HTTPS/HTTP
  西南-贵阳一	cn-southwest-2	obs.cn-southwest-2.myhuaweicloud.com	HTTPS/HTTP
  亚太-曼谷	ap-southeast-2	obs.ap-southeast-2.myhuaweicloud.com	HTTPS/HTTP
  亚太-新加坡	ap-southeast-3	obs.ap-southeast-3.myhuaweicloud.com	HTTPS/HTTP
  中国-香港	ap-southeast-1	obs.ap-southeast-1.myhuaweicloud.com	HTTPS/HTTP

华为云提供的内网DNS地址是多少？

内网DNS是华为云云解析服务提供的专门用于在VPC内使用的DNS，主要负责：

• 处理内网域名以及其他云服务域名（如OBS）的解析请求。
• 代理其他公网域名的解析请求。

华为云的内网DNS与公共DNS（114.114.114.114）相比，有以下优势：

• 可以解析基于VPC创建的内网域名。
• 可以访问华为云服务内部地址，例如OBS，SMN等。
• 可以使ECS不用绑定EIP访问公网域名解析记录。

华为云提供的内网DNS地址如表1所示。

说明：

• 建议ECS所在VPC子网的“DNS服务器地址”配置为各区域的内网DNS地址，如表1所示。
• 如果“DNS服务器地址”配置为其他外部DNS，则ECS对华为云云服务的访问会解析到公网IP，可能产生额外的公网流量费用。
• 当ECS访问第三方互联网域名时，华为云内网DNS承担递归DNS角色，由该域名的权威DNS返回最终解析结果。解析结果是否可靠或者最优，依赖第三方域名权威DNS等不可控因素。建议ECS尽量访问云服务的内网域名。