专属存储功能是专属钉钉的一项增值功能,支持将企业的钉盘数据、即时消息发送的文件、审批的附件等存储到企业指定的OSS空间中,支持的存储介质包括公共云OSS、专有云OSS、MiniOSS。
其中MiniOSS具有较高的性价比而被广泛采用,在我们在上次的文章中介绍了为MiniOSS选择证书的一些注意事项,这次就聊一聊MiniOSS在钉钉专属存储应用场景下常用的三种部署架构:
一、防火墙直接映射
这是最简单的一种部署架构,就是将MiniOSS部署在客户自己的数据中心内网,然后通过防火墙的端口映射功能将钉钉应用中心的文件上传请求映射给内网的MiniOSS设备,正常情况下我们在使用专属存储时,为了保证数据的安全性都要使用https协议,因此就要将证书绑定到MiniOSS设备上。
由于目前的MiniOSS只能绑定一张证书,而在OSS SDK中需要EndPoint和Bucket两个域名,所以这种部署架构只能使用类似于.domain.cn 这样的泛域名证书,具体原因在我上一篇文章中已经做了介绍,这里就不再赘述。
在解决了域名和证书的问题后,这种架构还有一个额外的风险:假如客户的域名只在阿里云进行了备案而没有在线下数据中心的运营商处进行备案的话可能会被随时封禁关停,因此采用这种架构时需要提前确认线下数据中心网络出口的备案情况。
假如域名的申请和备案都在阿里云进行,则可以采用下面的架构。
二、VPC代理
将阿里云VPC通过专线/VPN/SAG与线下数据中心打通,在阿里云VPC部署一台代理服务器,为MiniOSS做反向代理并部署证书,从代理服务器到MiniOSS设备侧由于只是内网通信可以使用http协议。MiniOSS的EndPoint和Bucket域名都解析到代理服务器,代理服务器由于在阿里云内所以只在阿里云备案即可。
这种架构还有一个额外的好处就是可以在代理服务器上分别为EndPoint和Bucket绑定oss.domain.cn和.oss.doman.cn 两张证书,假如要为MiniOSS使用三级泛域名证书则可以采用这种架构。
假如只是想使用三级泛域名证书且客户的数据中心出口不存在备案问题,则可以将这种代理服务器架构迁移到客户的数据中心内部。
三、DMZ代理
在客户的DMZ区增加一台代理服务器,将EndPoint和Bucket的证书都绑定在这台代理服务器,并通过防火墙将钉钉应用中心的上传请求映射到DMZ区的代理服务器,代理服务器可以使用http协议访问后端的MiniOSS。
由于DMZ区的代理服务器对MiniOSS的访问要经过防火墙规则的过滤,因金融机构等行业客户可以采取这种架构以满足较为严格的网络访问控制要求。
在代理服务器的实现上,既可以选择成本较低的Nginx代理服务器也可以选择性能较强的F5/A10等专业负载均衡设备。
