OSS

阿里云对象存储OSS（Object Storage Service）是一款海量、安全、低成本、高可靠的云存储服务，可提供99.9999999999%（12个9）的数据持久性，99.995%的数据可用性。多种存储类型供选择，全面优化存储成本。

OSS可以被理解成一个即开即用、无限大空间的存储集群。

OSS将数据文件以对象/文件（Object）的形式上传到存储空间（Bucket）中。OSS提供的是一个Key-Value键值对形式的对象存储服务。用户可以根据Object的名称（Key）唯一地址获取该Object的内容。

可以进行以下OSS相关的操作：

• 创建存储空间，并向存储空间中上传文件。
• 获取已上传文件的地址，进行文件的分享和下载。
• 修改存储空间或文件的属性或元信息，为其设置相应的权限。
• 在对象存储OSS控制台进行基础和高级OSS操作。
• 通过开发者工具包SDK或直接在应用程序中调用RESTful API，进行基础和高级OSS操作。

特点

• 易用性：简单易用，便于管理，深度集成数据处理服务

• 高可靠：为数据持久存储提供稳定保障

  • 多份副本：多份副本保存，有效应对各类硬件故障
  • 冗余架构：OSS全冗余的基础架构，消除单点隐患，保障服务的高可用性
  • 异地容灾：提供跨区域复制功能和灾备方案，支持数据自动备份在不同城市，实现异地容灾能力

• 强安全：多重访问控制细粒度的授权管理。Bucket|Object权限控制、Access ID和请求签名、VPC网络链路层访问控制、RAM&STS主子账号授权

• 低成本：数据按照冷热分层提供最具性价比的存储方式

  OSS对象存储	传统存储
  用相比自建存储降低25%~75%的成本，提供更加稳定安全可靠的数据保障	一次性投入高，资源利用率很低
  三种存储类型，不同数据冷热，追求最极致的TCO	存储受硬盘容量限制，需人工扩容
  多线带宽接入，上行流量免费	单线或双线接入速度慢，有带宽限制，峰值时期需人工扩容
  完全托管的存储模式，0成本运维	需专人运维，成本高

  

  对比项	OSS	文件系统
  数据模型	OSS是一个分布式的对象存储服务，提供的是一个Key-Value对形式的对象存储服务。	文件系统是一种典型的树状索引结构。
  数据获取	根据Object的名称（Key）唯一的获取该Object的内容。虽然用户可以使用类似test1/test.jpg的名字，但是这并不表示用户的Object是保存在test1目录下面的。对于OSS来说，test1/test.jpg仅仅只是一个字符串，与example.jpg并没有本质的区别。因此不同名称的Object之间的访问消耗的资源是类似的。	一个名为test1/test.jpg的文件，访问过程需要先访问到test1这个目录，然后再在该目录下查找名为test.jpg的文件。
  优势	支持海量的用户并发访问。	支持文件的修改，比如修改指定偏移位置的内容、截断文件尾部等。也支持文件夹的操作，比如重命名目录、删除目录、移动目录等非常容易。
  劣势	OSS保存的Object不支持修改（追加写Object需要调用特定的接口，生成的Object也和正常上传的Object类型上有差别）。用户哪怕是仅仅需要修改一个字节也需要重新上传整个Object。OSS可以通过一些操作来模拟类似文件夹的功能，但是代价非常昂贵。比如重命名目录，希望将test1目录重命名成test2，那么OSS的实际操作是将所有以test1/开头的Object都重新复制成以test2/开头的Object，这是一个非常消耗资源的操作。因此在使用OSS的时候要尽量避免类似的操作。	受限于单个设备的性能。访问越深的目录消耗的资源也越大，操作拥有很多文件的目录也会非常慢。

基本概念

数据以对象（Object）的形式存储在OSS的存储空间（Bucket ）中。如果要使用OSS存储数据，您需要先创建Bucket，并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后，您可以将数据以Object的形式上传到Bucket，并指定Object的文件名（Key）作为其唯一标识。

OSS以HTTP RESTful API的形式对外提供服务，访问不同地域需要不同的访问域名（Endpoint）。当您请求访问OSS时，OSS通过使用访问密钥（AccessKey ID和AccessKey Secret）对称加密的方法来验证某个请求的发送者身份。

Object操作在OSS上具有原子性和强一致性。

（1）对象/文件（Object）

对象是OSS存储数据的基本单元，也被称为OSS的文件。对象由**元信息（Object Meta）、用户数据（Data）和文件名（Key）**组成。对象由存储空间内部唯一的Key来标识。对象元信息是一个键值对，表示了对象的一些属性，比如最后修改时间、大小等信息，同时用户也可以在元信息中存储一些自定义的信息。

对象的生命周期是从上传成功到被删除为止。在整个生命周期内，对象信息不可变更，重复上传同名的对象会覆盖之前的对象。因此，OSS不支持修改文件的部分内容等操作。

（2）存储空间（Bucket）

存储空间是用于存储对象（Object）的容器，所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性，包括地域、访问权限、存储类型等。用户可以根据实际需求，创建不同类型的存储空间来存储不同的数据。

• 每个Object必须都包含在Bucket中；
• 同一个存储空间的内部是扁平的，没有文件系统的目录等概念，所有对象都直接隶属于其对应的存储空间；
• 每个用户可以拥有多个存储空间，
• 存储空间的名称在OSS范围内必须是全局唯一的，一旦创建之后无法修改名称；
• 存储空间内部的对象数目没有限制，大小总和不能超过2PB。

（3）地域

Region表示OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建Bucket。一般来说，距离用户更近的Region访问速度更快。

（4）访问域名

Endpoint表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不同的Region的时候，需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。例如杭州Region的外网Endpoint是oss-cn-hangzhou.aliyuncs.com，内网Endpoint是oss-cn-hangzhou-internal.aliyuncs.com。

如果Bucket的权限为公共读或者公共读写时，Object的访问规则如下：

http://<你的bucket名字>.<数据中心服务域名>/<你的object名字>

示意图：

http://oss-example.oss-cn-hangzhou.aliyuncs.com/aliyun-logo.png

（5）访问密钥

AccessKey简称AK，指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。OSS通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份。AccessKey ID用于标识用户；AccessKey Secret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，必须保密。

（6）强一致性

Object操作在OSS上具有原子性，操作要么成功要么失败，不会存在有中间状态的Object。OSS保证用户一旦上传完成之后读到的Object是完整的，OSS不会返回给用户一个部分上传成功的Object。

Object操作在OSS同样具有强一致性，用户一旦收到了一个上传（PUT）成功的响应，该上传的Object就已经立即可读，且数据已经冗余写入到多个设备中。不存在上传的中间状态，即不会出现read-after-write却无法读取到数据的情况。删除操作也类似，即用户成功删除指定的Object后，该Object立即变为不存在。

存储类型

（1）标准存储

• 高性能、高可靠、高可用的对象存储服务

• 吞吐量大，热点文件、需要频繁访问的业务场景，适用于各种社交、分享类的图片、音视频应用、大型网站、大数据分析等业务场景

• 持久性：99.999999999%

• 最低存储时间：无

（2）低频访问

• 较低存储成本和实时访问特性的对象存储服务

• 数据访问实时，读取频率较低的业务场景

• 持久性：99.999999999%

• 最低存储时间：30天，最小计量单位：64KB

（3）归档存储

• 提供了高持久性、极低存储成本的对象存储服务
• 适用于数据长期保存的业务场景，例如档案数据、医疗影像、科学资料、影视素材等。
• 数据需解冻（约1分钟）后访问，解冻会产生数据取回费用。
• 持久性: 99.999999999%
• 最低存储时间：60天，最小计量单位：64KB

（4）冷归档存储

• 数据需解冻（约1分钟）后访问，解冻会产生数据取回费用
• 适用于需要超长时间存放的极冷数据，例如因合规要求需要长期留存的数据、大数据及人工智能领域长期积累的原始数据、影视行业长期留存的媒体资源、在线教育行业的归档视频等业务场景。
• 数据需解冻后访问，解冻时间根据数据大小和选择的解冻模式决定，解冻会产生数据取回费用。
• 最低存储时间：180天，最小计量单位：64KB

权限控制

OSS提供ACL (Access Control List)权限控制方法，OSS ACL提供Bucket级别的权限访问控制，Bucket目前有三种访问权限：

• Public-read-write
• Public-read
• Private

创建Bucket时默认为private权限。可以通过OSS的Put Bucket Acl接口修改该Bucket的权限。

请求路由规则

• OSS使用域名系统（DNS, Domain Name System）将请求发往正确的服务器
• 从URL中通过三级域名提取bucket名称，然后将请求路由到 Bucket所在的数据中心，即所谓的三级域名访问方式
• 当一个数据中心的 OSS服务器收到属于其他数据中心bucket的请求时，OSS服务器会返回HTTP 403(禁止访问）错误码，并在 HTTP消息体内提示正确的数据中心服务域名

文件上传代码

依赖：

<!-- OSS SDK 相关依赖 -->
<dependency>
    <groupId>com.aliyun.oss</groupId>
    <artifactId>aliyun-sdk-oss</artifactId>
    <version>3.8.0</version>
</dependency>

配置文件：

spring:
  # 资源信息
  messages:
    # 国际化资源文件路径
    basename: i18n/messages
  profiles: 
    active: dev
  # 文件上传
  servlet:
     multipart:
       # 单个文件大小
       max-file-size:  50MB
       # 设置总上传的文件大小
       max-request-size:  100MB

aliyun:
  oss:
    endpoint: xtslife-oss.oss-cn-chengdu.aliyuncs.com # oss对外服务的访问域名
    accessKeyId: test # 访问身份验证中用到用户标识
    accessKeySecret: test # 用户用于加密签名字符串和oss用来验证签名字符串的密钥
    bucketName: xtslife-oss # oss的存储空间
    policy:
      expire: 300 # 签名有效期(S)
    maxSize: 10 # 上传文件大小(M)
    callback: http://localhost:8080/aliyun/oss/callback # 文件上传成功后的回调地址
    dir:
      prefix: xtslife/images/ # 上传文件夹路径前缀

1. endpoint、accessKeyId、accessKeySecret、bucketName、callback、prefix都要改为你自己帐号OSS相关的，callback需要是公网可以访问的地址。
2. web文件上传大小受spring.servlet.multipart.max-file-size和spring.servlet.multipart.max-request-size配置影响。

是PutObject方法来上传单个文件（Object），属于OSS上传方式中的简单上传。简单上传适用于一次HTTP请求交互即可完成上传的场景，例如小文件（小于5 GB）的上传。

Put Object方式最大不能超过5GB，大文件可以用multipart方式上传，Object大小不能超过48.8TB。

（1）创建OSSClient实例

在此处可通过ClientConfiguration配置OSS连接配置。

private OSSClient getOssClient() {
    return new OSSClient(endpoint, 
    	new DefaultCredentialProvider(accessKeyId,secretAccessKey),
    	new ClientConfiguration());
}

（2）文件上传

/**
     * 文件上传
     * @param file
     * @return
     */
public Map<String, Object> uploadFile (@Nullable MultipartFile file) {
    Map<String, Object> map = new HashMap<>();
    String fileExt = FileUtil.extName(file.getOriginalFilename());
    SimpleDateFormat sm = new SimpleDateFormat("yyyy/MM");
    String today = sm.format(new Date());
    String fileKey = BASE_FILE_PATH + "/" + today +"/"+getCurrentDate()+"."+fileExt;
    OSSClient ossClient = getOssClient();
    try {
        // 文件存储入OSS，Object的名称为fileKey。详细请参看“SDK手册 > Java-SDK > 上传文件”。
        // 链接地址是：https://help.aliyun.com/document_detail/oss/sdk/java-sdk/upload_object.html?spm=5176.docoss/user_guide/upload_object
        ossClient.putObject(bucketName, fileKey, file.getInputStream());
        log.info("上传文件：" + fileKey + "存入OSS成功。");
    } catch (Exception e) {
        log.warn("上传文件异常，errMsg = {}", e);
    } finally {
        ossClient.shutdown();
    }
    map.put("fileUrl",fileKey);
    map.put("url",getUrl(fileKey,ossClient));
    return map;
}

（3）如果想通过链接访问你保存的文件，可使用以下方法生成外链

private String getUrl(String fileKey, OSSClient ossClient) {
    // 设置URL过期时间为10年 3600l* 1000*24*365*10
    Date expiration = new Date(System.currentTimeMillis() + 3600L * 1000 * 24 * 365 * 10);

    // 生成URL
    URL url = ossClient.generatePresignedUrl(bucketName, fileKey, expiration);
    if (url != null) {
        log.info(fileKey + "生成的访问路径为："+ url);
        return url.toString();
    }
    return null;
}

（4）如果你想删除OSS上保存的文件，可通过deleteObject方法来删除，在此方法上必要条件是保存时的文件内部路径。

public void deleteFile (String fileKey) {
    OSSClient ossClient = getOssClient();
    try {
        // 删除Object。详细请参看“SDK手册 > Java-SDK > 管理文件”。
        // 链接地址是：https://help.aliyun.com/document_detail/oss/sdk/java-sdk/manage_object.html?spm=5176.docoss/sdk/java-sdk/manage_bucket
        ossClient.deleteObject(bucketName, fileKey);
        log.info("删除文件：" + fileKey + "删除OSS成功。");
    } catch (Exception e) {
        log.warn("删除文件异常，errMsg = {}", e);
    } finally {
        ossClient.shutdown();
    }
}

文件下载

三种下载方式：

• 简单下载：下载已经上传的文件(Object) , Object下载是使用HTTP的GET请求来完成的。
• 断线续传下载：OSS提供了从Object指定的位置开始下载的功能，在下载大的Object的时候，可以分多次下载。如果下载中断，重启的时候也可以从上次完成的位置开始继续下载。
• 授权给第三方下载：将私有Bucket内部的Object授权给第三方下载的时候，不应该直接将AccessKey提供给下载者，而应该使用URL签名和临时访问凭证两种方法。

应用场景

（1）图片和音视频等应用的海量存储

OSS可用于图片、音视频、日志等海量文件的存储。各种终端设备、Web网站程序、移动应用可以直接向OSS写入或读取数据。OSS支持流式写入和文件写入两种方式。

（2）CDN加速与动静分离

利用海量互联网带宽，OSS可以实现海量数据的互联网并发下载。OSS提供原生的传输加速功能，支持上传加速、下载加速，提升跨国、跨洋数据上传、下载的体验。同时，OSS也可以结合CDN产品，提供静态内容存储、分发到边缘节点的解决方案，利用CDN边缘节点缓存的数据，提升同一个文件被同一地区客户大量重复并发下载的体验。

（3）云端数据处理

上传文件到OSS后，可以配合媒体处理服务和图片处理服务进行云端的数据处理。

OSS实践要点

（1）数据备份与跨域复制

异地容灾：通过跨区域复制功能可在另━数据中心维护副本，实现异地容灾

数据合规：在远距离的OSS数据中心之间复制数据以满足数据合规性要求

（2）安全防护与管理

OSS适用于存储各种类型的静态资源，为防止OSS的资源被恶意盗用，OSS提供了几种安全防护功能，还可以集成安全类产品进行安全防护。

• 防盗链

  目前OSS提供的防盗链方法主要有以下两种：

  • 设置Referer。该操作通过控制台和SDK均可进行，用户可根据自身需求进行选择。http请求发给服务器后，如果服务器要求必须是某个地址或者某几个地址才能访问，而你发送的referer不符合他的要求，就会拦截或者跳转到他要求的觉地址进行访问。
  • 签名URL，适合习惯开发的用户。

• 权限控制

  Bucket私有的情况下，需要通过签名URL访问object。

  由于签名URL存在一个过期时间，所以签名URL会定期过期，增加了一直恶意下载的成本，同时用户需要集成OSS签名URL的API，有一定的开发成本。

例子：

我在www.google.com里有一个www.baidu.com链接，那么点击这个ww.baidu.com，它的header信息里就有：

Referer=http://www.google.com

那么可以利用这个来防止盗链了，比如我只允许我自己的网站访问我自己的图片服务器，那我的域名是ww.google.com，那么图片服务器每次取到Referer来判断一下是不是我自己的域名ww.google.com，如果是就继续访问，不是就拦截。

（3）CDN加速与动静分离

利用海量互联网带宽，OSS可以实现海量数据的互联网并发下载。OSS提供原生的传输加速功能，支持上传加速、下载加速，提升跨国、跨洋数据上传、下载的体验。同时，OSS也可以结合CDN产品，提供静态内容 存储、分发到边缘节点的解决方案，利用CDN边缘节点缓存的数据，提升同一个文件被同一地区客户大量重复并发下载的体验。

（4）云端数据处理

上传文件到OSS后，可以配合媒体转码服务(MTS)，图片处理服务（IMG)，批量计算服务、离线数据处理服务(ODPS)充分挖掘数据的价值，引领从IT到DT的变革。

能够提供：

• 富媒体数据处理：自带图片处理/自定义函数等增值服务(比如：图片水印)，配合MTS实现视频转码/截帧
• 存储+计算：与阿里云数据计算产品打通，可直接调用计算服务挖掘您的数据价值