使用RDS要注意些什么 1、实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2、对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云服务器（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3、申请RDS后，您还需要做什么。 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 4、关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 5、关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 可以通过创建模板的方式创建实例吗 目前不支持实例模板。 RDS与其他数据库解决方案间的差异 功能 RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云服务器用户指南》。 需自行保障，自行搭建主从复制，自建RAID等。 数据可靠性 请参见《云硬盘用户指南》。 需自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS，及时修复各种数据库安全漏洞。 自行部署，价格高昂；自行修复数据库安全漏洞。 数据库备份 自动备份。 自行实现，但需要寻找备份存放空间以及定期验证备份是否可恢复。 软硬件投入 无软硬件投入，按需付费。 数据库服务器成本相对较高。 系统托管 无托管费用。 托管费用比较高。 维护成本 无需运维。 需招聘专职DBA来维护，花费大量人力成本。 部署扩容 即时开通，快速部署，扩容，按需开通。 需硬件采购、机房托管、部署机器等工作，周期较长。 资源利用率 按实际结算，利用率高。 考虑峰值，资源利用率很低。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户购买实例的时候，选择主备，可以选择主可用区和备可用区不在同一个可用区（AZ）。 导出SQL查询结果到Excel出现乱码 编码导致出现乱码，默认是utf8，需要将默认编码转换为Unicode。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。 云数据库如何进行主备切换 关系型数据库（Relational Database Service，简称RDS）服务提供高可用类型，推荐您选择主备模式。 故障切换 也叫计划外的切换。当主机出现故障时，系统会在1～5分钟内自动切换到备机，主备实例的连接IP不变，整个过程无需人工干预。切换过程中不可访问，需要您设置好程序跟关系型数据库服务的自动重连，避免因为切换导致服务不可用。 手动切换 也叫计划内的切换。当实例运行正常时，用户可以自主手动触发主备切换，以满足业务需求。 步骤 1登录管理控制台。 步骤 2单击管理控制台左上角的，选择区域和项目。 步骤 3选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4在“实例管理”页面，选择指定的主备实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5在“基本信息”页面中“数据库信息”模块的“实例类型”处，单击“主备切换”。 您也可以在“基本信息”页面，单击“实例拓扑图”模块的。进行主备切换。 主备切换可能会造成几秒或几分钟的服务闪断（闪断时间与复制时延有关），并有可能在主备同步时延过大的情况下，导致少量数据丢失。 主备切换后，请注意对业务进行预热，避免业务高峰期出现阻塞。 在“主备切换”弹框，单击“是”进行主备实例的切换。 在“复制状态”为“正常”的情况下，复制时延大于300s，主备切换任务无法下发。 主备切换成功后，单击“返回实例列表”，用户可以在“实例管理”页面对其进行查看和管理。 切换过程中，状态显示为“主备切换中”。 在实例列表的右上角，单击刷新列表，可查看到主备切换完成后，实例状态显示为“正常”。 多台弹性云服务器是否可以使用同一个RDS数据库 在数据库的压力承载范围内，多台弹性云服务器是可以使用同一个关系型数据库来支撑业务的。 RDS主备实例是否可以在一个可用区 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 相同（默认），主机和备机会部署在同一个可用区。 不同，主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，证书配置相关的常见问题。 为什么需要导入证书？ 证书主要指HTTPS访问请求所使用的证书，通过使用HTTPS证书能够保证用户请求的安全性。 证书的主要原理是，用户请求通过第三方颁发的可信证书中的公钥对会话进行加密和签名，从而保证用户本身的信息以及用户所访问服务器的可信性，服务器端接收到用户通过公钥加密发送的请求和签名后，再通过私钥进行解密，从而验证用户本身的可信性。 WAF需要导入所防护域名的证书和私钥，从而完成对客户请求的认证，以及通过HTTPS的安全请求方式将用户的请求转发回源站。故在使用过程中，需要Web业务管理员将Web服务的证书及对应的私钥导入到WAF中，从而实现客户对Web业务的安全访问。 配置泛域名时，如何选择证书？ 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 并且泛域名与证书必须是同级匹配，例如您的泛域名是.b.ctyun.cn，则泛域名证书必须为.b.ctyun.cn，不能是.ctyun.cn或.a.b.ctyun.cn。 如何更新已绑定域名的证书？ 1. 登录Web应用防火墙（原生版）管理控制台。 2. 在左侧导航栏选择“域名接入”，进入域名列表页。 3. 定位到需要更新证书的域名，单击操作列的“详情”，进入域名详情页。 4. 单击“协议及端口”后的“设置”，在弹出的对话框中点击“证书更新”，即可重新填写证书内容或上传新的证书文件。

本节介绍如何配置攻击惩罚标准封禁访问者指定时长。 当访问者的IP、Cookie或Params恶意请求被WAF拦截时，您可以通过配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。例如，访问者的源IP为恶意请求，如果您配置了IP攻击惩罚拦截时长为500秒，该攻击惩罚生效后，则该IP被WAF拦截时，WAF将封禁该IP，时长为500秒。 配置的攻击惩罚标准规则会同步给Web基础防护规则、精准访问防护规则和IP黑白名单规则使用。当配置Web基础防护规则、精准访问防护规则和IP黑白名单规则时，防护动作为“拦截”或“阻断”时，可使用攻击惩罚标准功能。 前提条件 已添加防护网站。 约束条件 Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能，当攻击惩罚标准配置完成后，您还需要在Web基础防护、精准访问防护或黑白名单规则中选择攻击惩罚，该功能才能生效。 说明 黑白名单规则中，不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 在配置Cookie或Params恶意请求的攻击惩罚标准前，您需要在域名详情页面设置对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。

功能 说明 参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过客户控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过客户控制台删除证书。 如果证书临近过期，客户需要在过期前替换证书，避免影响域名的正常访问。 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 天翼云全站加速支持HTTPS加速服务，当您完成新增证书后，可以通过控制台绑定域名启用HTTPS加速服务，实现全网数据加密传输。 在您使用全站加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的部署历史。 如果您的网站没有购买HTTPS证书，可以通过全站加速平台提供的免费证书来支持HTTPS访问。

自定义配置 如果想使用自己配置的模型，则可通过设置进行配置 快速开始 步骤1：打开代码助手插件 点击VS Code主侧边栏（窗口侧面的垂直栏）中的代码助手图标以打开聊天界面。如果没有看到该图标，请确认扩展已安装并启用。 步骤2：输入你的任务 在面板底部的聊天框中输入对希望代码助手执行的操作的清晰、简洁描述。有效任务示例： 1. “创建一个名为hello.txt的文件，内容为‘Hello, world!’。” 2. “编写一个用于计算两个数字之和的Python函数。” 3. “创建一个标题为‘Code test’的简单网站的HTML文件” 无需特殊命令或语法，只需使用简单的文字描述即可。也可以使用系统预置的任务开启使用： 步骤3：发送你的任务 按Enter键或点击输入框右侧的发送图标。 步骤4：查看并批准操作 代码助手会分析您的请求并提出具体操作。这些操作可能包括： 1. 读取文件：显示其需要访问的文件内容 2. 写入文件：显示带有建议更改的差异（新增行以绿色显示，删除行以红色显示） 3. 执行命令：显示要在终端中运行的确切命令 4. 使用浏览器：概述浏览器操作（点击、输入等） 5. 提问：在需要继续推进时请求澄清 代码助手会明确显示它想要执行的操作，只需批准，即可继续执行。

案例二：仅允许特定IP地址远程登录物理机 场景举例： 为了防止物理机器被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到物理机器。 安全组配置方法： 以仅允许特定IP地址（例如，192.168.20.2）通过TCP协议访问Linux操作系统的物理机器的22端口为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 22 IPv4地址、IPv4 CIDR或者另一个安全组的ID。例如：192.168.20.2 案例三：允许任意公网IP地址远程登录物理机器 场景举例： 允许Internet的任意地址远程登录到安全组内的物理机器。 安全组配置方法： 以允许任意公网地址通过TCP协议登录Linux操作系统的物理机器为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 22 0.0.0.0/0 以允许任意公网地址通过TCP协议登录Windows操作系统的物理机器为例，安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 3389 0.0.0.0/0 案例四：允许公网地址通过HTTP或者HTTPS协议访问物理机器 场景举例： 在物理机器上部署网站后，允许Internet的任意IP地址的用户通过HTTP或者HTTPS协议访问安全组内的物理机器。 安全组配置方法： 不限制公网地址访问物理机器，需要配置的两条安全组规则如下所示。 协议 方向 端口范围 源地址 TCP 入方向 80（HTTP） 0.0.0.0/0 TCP 入方向 443（HTTPS） 0.0.0.0/0

配置Windows IIS服务器 本教程以Windows Server 2012配置IIS7为例介绍，其他版本操作可能略有不同。 1. 下载并安装IIS。 2. 从第三方网站下载F5XForwardedFor.dll插件，并获取x86和x64目录下的F5XForwardedFor.dll插件拷贝到IIS服务具有访问权限的目录下，例如C:F5XForwardedFor2008。 3. 打开IIS管理器，选择“模块 > 配置本机模块”注册拷贝的2个插件。 图 选择模块选项 图 配置本机模块 4. 单击“注册”，分别注册x86和x64插件。 图 注册插件 5. 在“模块”页面，确认注册的模块名称出现在列表中。 图 确认注册成功 6. 选择IIS管理器主页的“ISAPI筛选器”，为2个插件授权运行ISAPI和CGI扩展。 图 添加授权 7. 选择“ISAPI和CGI限制”，为2个插件设置执行权限。 图 允许执行 8. 单击主页的“重新启动”，重启IIS服务，重启后配置生效。 图 重启IIS服务

自定义配置 如果想使用自己配置的模型，则可通过设置进行配置 快速开始 步骤1：打开代码助手插件 点击VS Code主侧边栏（窗口侧面的垂直栏）中的代码助手图标以打开聊天界面。如果没有看到该图标，请确认扩展已安装并启用。 步骤2：输入你的任务 在面板底部的聊天框中输入对希望代码助手执行的操作的清晰、简洁描述。有效任务示例： 1. “创建一个名为hello.txt的文件，内容为‘Hello, world!’。” 2. “编写一个用于计算两个数字之和的Python函数。” 3. “创建一个标题为‘Code test’的简单网站的HTML文件” 无需特殊命令或语法，只需使用简单的文字描述即可。也可以使用系统预置的任务开启使用： 步骤3：发送你的任务 按Enter键或点击输入框右侧的发送图标。 步骤4：查看并批准操作 代码助手会分析您的请求并提出具体操作。这些操作可能包括： 1. 读取文件：显示其需要访问的文件内容 2. 写入文件：显示带有建议更改的差异（新增行以绿色显示，删除行以红色显示） 3. 执行命令：显示要在终端中运行的确切命令 4. 使用浏览器：概述浏览器操作（点击、输入等） 5. 提问：在需要继续推进时请求澄清 代码助手会明确显示它想要执行的操作，只需批准，即可继续执行。

本节主要介绍OOS的存储类型：标准存储和低频访问存储。 OOS提供两种类型的存储：标准存储和低频访问存储。用户可以根据不同业务场景选择不同的存储类型。 标准存储（STANDARD） ：访问时延低、吞吐量高，能够有效支持各种热点类型数据频繁访问。适用于各种音视频服务、图片服务、大型网站、大数据分析等应用的数据存储。标准存储是默认的存储类型。如果上传文件时未指定存储类型，OOS默认使用标准存储。 低频访问存储（STANDARDIA） ：适合长期保存不经常访问的数据。对于不经常访问但仍需要实时访问的数据，可以采用低频访问存储，例如各类移动应用、智能设备、企业数据的长期备份。 最短存储时间：低频访问存储的文件有最短存储时间，存储时间短于30天的文件被提前删除或变更时，会产生一定费用。 最小计费大小：低频访问存储文件有最小计费大小，即如果文件大小低于64KiB，会按照64KiB计算收费文件大于等于64KiB按照实际存储收费。 数据取回：获取低频访问存储文件时会产生数据取回费用。 存储类型对比 对比指标 标准存储类型 低频访问存储类型 ::: 数据持久性高达 99.99999999999%（13个9） 99.99999999999%（13个9） 服务设计的可用性 99.99% 99.9% 文件最小计费大小 按照文件实际大小计算 64KiB 最短存储时间 无最短存储时间要求 30天 数据取回费用 不收取数据取回费用 按实际获取的数据量收取，单位GiB 数据访问特点 实时访问 实时访问 图片处理 支持 支持 HTTPS加密传输 支持 支持 修改存储类型 支持 支持

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

本节为您介绍自建MySQL迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建MySQL迁移至自建MySQL。

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 适用场景 包年包月是一种计费模式，适用于多种场景，尤其是需要稳定资源并长期使用的情况： 1.长期稳定使用 常驻服务： 适用于需要长期稳定运行的服务，如网站托管、数据库服务器、企业应用等。 2.成本可控和节约 成本控制： 对于需要长期使用的资源，包年包月可以降低长期成本，相比按需付费更为经济。 预算规划： 有助于企业预算规划，避免长期高额的变动费用，提供更稳定的费用支出。 3.稳定资源需求 资源保障： 对于有稳定资源需求的业务，如特定配置的服务器、存储或计算资源，包年包月提供稳定的资源保障。 约束与限制 包年包月的计费模式虽然有其优势，但也存在一些约束和限制，这些限制可能因服务提供商和具体服务套餐而异： 1.长期绑定 合约期限： 通常需要按照一定期限购买，可能是一年或更长时间的合约，无法随时更改或取消。 费用一次性支付： 一次性支付包年包月费用，无法根据实际使用情况灵活调整费用。 2.非弹性和限制 固定资源： 购买后资源固定，无法根据实际需求灵活调整，可能导致资源过剩或不足。 限制升级： 一些服务可能在包年包月期间限制资源的升级，只能在合同到期后进行。 3.限制服务范围 部分服务限制： 某些服务或特性可能无法包含在包年包月套餐内，需要额外付费或选择其他计费模式。 4.资费约束 费用固定性： 购买后的费用是固定的，无法根据实际使用情况进行变动或调整。

本节介绍天翼云电脑（公众版）的产品定义，以便您了解云电脑。 天翼云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的云电脑使用体验。即开即用，便捷访问，适配多种终端类型。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼云电脑（公众版） 为个人/家庭用户提供安全、快速的云电脑使用服务，满足日常办公、娱乐、在线学习需要，多终端支持，随时随地使用智能终端一键接入云电脑。 产品架构图 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

本文将介绍如何提升登录口令的安全性以及常见服务器登录口令的修改方法。 弱口令是指密码强度低，或广泛被使用，容易被攻击者破解的口令。弱口令一旦被攻击者获取，可用来直接登录系统，读取甚至修改网站代码，使用弱口令将使得系统及服务面临非常大的风险。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。 背景信息 出现弱口令的原因 ： 设置的自动生成密码的方式过于简单，与弱口令检测的密码库相重合。 将同一密码用于多个子账号，会被系统判定为弱密码。 使用弱口令可能会造成以下危害 ： 对于个人用户而言，如果使用了弱口令，可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 对于系统管理员而言，如果使用了弱口令，可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 检测弱口令 及时检测弱口令能够有效防止系统被攻击和信息泄露，可以提高系统的安全性。 态势感知基线检查功能，可以检查您的IAM账号/主机中是否存在高危弱口令风险。如果在您的IAM账号/主机中检测出了高危弱口令风险，建议您及时修改弱口令。具体方法请参见本文的修改常见的IAM账号弱口令、修改常见的服务器弱口令、提升口令安全IAM账号、提升口令安全主机。

本章节为媒体存储域名管理概述。 使用场景 媒体存储提供自定义域名绑定功能，用户可通过已绑定的自定义域名访问存储桶内的文件，可满足用户将网站文件迁移到媒体存储后，仍可保持访问链接不变的场景需求。 如用户在广东资源池1区有个testbucket的存储桶，其下保存了一个1.jpg的公共读对象。用户为testbucket绑定了自定义域名为www.example.ctyun.cn，且完成CNAME配置，则绑定后访问规则如下： 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 使用说明 每个桶支持配置20个自定义域名。 不支持配置中文域名。 按照工信部要求，使用自定义域名时，需要提前完成ICP备案。如何备案请参见：新增备案。 一个自定义域名只能绑定到一个桶域名上。 支持HTTPS方式访问自定义域名。使用HTTPS方式访问时，用户需提前在控制台配置HTTPS自定义域名时上传对应证书。具体可参考：控制台指南自定义域名 的【证书托管】章节。

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果您的网站因业务变更需要停止全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 通过客户控制台对域名进行停用操作后，域名状态将变更为“已停止”，全站加速节点上的域名配置会被立即删除，系统数据库中会保留配置以便再次启用域名，但域名的CNAME将被立即解析至不可用地址。为避免您的业务中断，请务必在操作域名停用前将域名DNS解析至非天翼云的CNAME或您的源站地址。 删除域名 对域名进行删除操作后，天翼云会直接删除域名在全站加速节点和系统数据库中的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至全站加速节点，则会响应403。 注意 停用全站加速域名前，为了避免停用导致业务中断，您需要确保已将域名DNS解析记录由原来的天翼云CNAME调整为其他非天翼云的CNAME或您的源站地址。该调整完成后，您可以通过客户控制台数据分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，全站加速节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本文主要介绍与账号管理相关的其它常见问题。 如何在官网进行备案操作？ 官网登录成功以后，找到右上方界面的备案中心，选择正确的备案类型，可根据备案指引选择，备案分为三种不同的备案模式，首次备案、接入备案、新增网站，用户可根据自己的备案类型进行填写资料即可。官网链接为：< 个人信息上面显示的公司名称打，是否有办法显示全部名称？ 为了您的信息安全，系统对个人信息上面显示的个人姓名及公司名称均进行了脱敏处理，暂不支持显示全部名称。 什么是企业管理功能？ 为企业客户提供云上组织管理、财务管理的企业上云综合管理服务，以帮助企业以多层级组织的方式管理人、财、物，规范企业在天翼云上的操作，满足企业IT治理等诉求。主要包括组织管理、账号管理、财务管理、权限管理、预算管理等功能。 该功能的申请账号是企业管理的主账号（管理员账号），拥有对企业管理的全部权限，在企业主账号下创建或者邀请加入的账号是企业管理的子账号，他们的权限由主账号分配。 哪些用户可以申请使用企业管理功能？ 企业管理功能定向邀测中，仅面向特定用户开放申请。暂未接到邀请的用户请您耐心等待产品开放公测或转商用，谢谢您的关注与支持。 我的凭证中默认可以创建几个管理访问密钥？ 默认可创建2个管理访问密钥。

本节为您介绍自建PostgerSQL迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建PostgreSQL迁移至自建MySQL。

本节为您介绍自建SQL Server迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。目标端配置请参照自建SQL Server迁移至自建MySQL。

本节主要介绍目的端虚拟机已创建 说明 以下章节以“目的端虚拟机已创建场景”下将主机资源一站式迁移到天翼云的方法为例，提供主机迁移实施的指导。 1、添加资源发现：切换页面到“资源发现”，可选择“平台级别”，也可选择“主机”tab页，根据具体的源端按需选择，单机“添加” 2、输入主机名称、IP、凭证等，单击“保存”，后等待资源发现成功（凭证也可提前创建配置完成） 3、添加完成后，可看到主机相关信息如下： 4、参考天翼云网门户网站弹性云主机帮助中心文档，在目的端资源池完成对应目标端云主机创建，创建完成后关闭弹性云主机等待迁移。 5、进入“迁移实施”页面，选择目的端主机已创建模块如下： 6、绑定目的端：选择待迁移源端，单击“绑定目的端”，选择目标账号，区域，可用区等信息后，列表中会提供可选择弹性云主机列表，选择对应主机后确认配置。 7、迁移目的端配置完成后，点击一站式迁移，开始全量复制迁移。在弹出页面，推送模式选择“公网”，输入“RDA本机公网IP”，勾选创建迁移任务、启动迁移任务。 8、（可选）设置目的端时，持续同步选择“是”，全量复制完成后，需要手动启动目的端。 9、 查看迁移详情：等待状态图标变为绿色，浮动文字为已安装，迁移详情按钮可用后单击“迁移详情” 10. 迁移实时状态”为“已完成”，说明目的端已启动，整个迁移操作已完成。迁移完成后，登录目的端机器查看迁移结果。

本节介绍云智手机的计费说明。 订购渠道 云智手机支持通过云智手机APP、中国电信营业厅两个渠道订购。 1. 云智手机APP（推荐）： 用户范围：全网用户。 订购路径：云智手机APP > 购买云智手机。 支付方式：互联网支付（翼支付、微信支付、支付宝支付）、话费支付。 2. 中国电信营业厅： 用户范围：电信号卡用户。 订购路径：线下中国电信营业厅咨询办理 / 线上拨打10000号咨询办理。 支付方式：话费支付。 计费规则 云智手机支持包月计费，不同支付方式计费规则不同。 1. 互联网支付（推荐）：支持订购、续订、规格变更、退订。 计费周期：以非自然月为计费单位，到期需主动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，购买时长为2个月，则该云智手机到期时间为2026年3月8日11:59:59。 续订规则：服务到期前用户可对其进行续订操作（已退订或已释放的资源不可续订），暂不支持自动续订。 规格变更：服务到期前用户可对其进行升降配操作，升降配费用订单剩余可用天数（原规格天价格目标规格天价格）。 退订规则：提交退订申请后，3个工作日内审核，审核结果将通过短信通知；退订成功后，资源将立即删除，订单剩余金额将实时退还至用户的天翼云账户中（代金券支付部分不予退还），退订费用订单总金额÷总天数剩余可用天数（不含退订当天）退订手续费。 2. 话费支付：支持订购、续订、退订，不支持规格变更。 计费周期：以自然月为计费单位，到期自动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，则该云智手机到期时间为2026年1月31日23:59:59；订购当月费用按当月实际天数计扣，费用四舍五入到分（如标准版29元/月，用户在1月8日订购，则收取费用22.45元29元÷31天24天）。 续订规则：到期自动续订，与话费套餐保持一致。 退订规则：退订后权益次月失效，不退当月费用。

本章节介绍数据安全相关实践。 媒体存储深知数据安全对用户的重要性。在媒体存储中，我们致力于为您提供可靠、安全的数据存储解决方案，并积极推动数据安全的最佳实践。 我们将通过本文为您介绍媒体存储数据安全的最佳实践，帮助您保护和管理存储在我们平台上的数据。我们将分享一系列有效的措施，旨在确保数据的机密性、完整性和可用性。 我们将从访问控制，数据加密，数据备份和灾难恢复，数据完整性检查，安全审计和监控等几个方面，介绍天翼云媒体存储的数据安全实践。 访问控制 正确使用天翼云媒体存储为您提供的访问控制能力，通过细粒度的访问控制策略，可以有效保护您的数据不被泄露和破坏。 建议不同管理员分别使用不同子账号，通过子账号来控制不同管理员的资源访问和管理权限，避免单一账号访问权限过高，导致数据泄露和误操作而产生的风险。 主账号管理员可以结合自己的业务和实际需求，分别创建不同的子用户，然后对子用户授权不同的权限。这样做可以更好的对不同管理员进行权限隔离和管理。详情参考：主子账号。 对临时用户，建议使用STS发放最小权限的临时访问凭证，让您的资源访问更加安全。临时访问凭证无需透露您的长期密钥，具有一定的时间有效期限，所以针对某些临时需要访问您数据的业务场景或者临时用户，推荐您使用STS发放最小权限临时访问凭证，降低潜在的攻击面和数据泄露风险。同时定期审查STS角色的权限设置，确保角色权限与用户或服务的实际需求保持一致。如果用户或服务不再需要特定的权限，应立即撤销相应的角色访问权限。对于特权角色，进行更频繁的审查和严格的权限管理。详情参考：STS角色管理。 利用好桶的权限配置功能，有效保护您的数据不被异常访问和操作。天翼云媒体存储提供了存储空间访问策略（Bucket Policy）、存储空间访问控制列表（Bucket ACL）和对象访问控制列表（Object ACL）等方式，通过它，您可以限制其他用户访问您数据的操作权限，避免您的数据被破坏和泄露。详情参考：访问权限概述。 利用好防盗链配置，通过可以设置黑白名单，限制资源的可见性，能有效避免资源被盗用的风险。天翼云媒体存储提供了防盗链机制，可以防止其他网站或未经授权的第三方使用您的存储资源，防止资源盗链和滥用。只有经过授权的来源网站才能访问和显示您的资源，提高资源的安全性和保密性。详情参考：防盗链。 建议将需要公共读写的对象和私有资源对象进行分桶存储，以便简化您的访问控制策略。推荐将公开访问的对象数据使用公有桶存储，私有资源对象采用私有桶存储。同时请切勿将敏感数据放入公共桶存储，将私有桶错授权为公共读写权限，这样容易造成数据泄露风险。详情参考：访问权限ACL。 数据对象临时的访问，建议使用临时URL访问数据对象。为了有效避免数据泄露的风险性，针对数据对象的临时访问场景，建议您生成一个临时的URL给访问者，同时在生成临时URL的时候，设置URL的有效期，过期自动失效。详情参考：访问方式。 利用好合规保留功能，可以降低您数据被误删和篡改的可能。对于一些私密敏感数据，一经上传，就需要对其进行锁定，防止被他人误删除或者篡改。天翼云媒体存储提供了合规保留功能，开启合规保留后，处于合规保留期的对象均“不可删除、不可篡改”。详情参考：合规保留。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 申请对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

复制类型：更新 使用场景：当您需要匹配目标域名中相同防护范围的规则，更新其余配置项（如处理动作、防护周期等），可以通过规则复制复制规则来操作。 操作步骤： 1. 进入【访问控制/限流】【频率控制】模块； 2. 选中一条控制ID，选中规则复制复制规则，复制类型选择【更新】； 3. 选择您要复制规则的域名（支持复制上限域名为200个，只能选中已启用、且包含相同防护范围策略的域名）； 4. 点击复制，则完成规则批量新增的操作。 注意 复制类型为追加：域名列表展示域名状态为【已启用】的域名 复制类型为覆盖：域名列表只展示频率控制含相同防护范围，并且域名状态为【已启用】的域名 复制类型为更新：匹配目标域名中相同防护范围的规则，更新其余配置项（如处理动作、防护周期等），实现批量修改。 批量操作 支持用户对同一域名下的多项访问频率规则进行批量的启用、停用、删除及调整处理动作。 操作步骤： 1. 进入频率控制模块； 2. 勾选需要批量操作的规则； 3. 下拉选择批量操作的动作。 配置场景 设置客户端IP访问域名首页次数限制 在【频率控制】新增规则： 规则名称：单IP访问首页次数限制 处理动作：拦截 统计粒度：IP 触发条件在59秒内，第5个请求开始执行处理动作 处理动作持续时间：10分 防护范围：URI等于字符串/ 相关操作 设置网站白名单 设置访问控制

本文主要介绍压测工程管理类问题 性能测试中思考时间和持续时间有什么区别？ 性能测试服务里面会涉及到2个时间的概念： 思考时间（单位为ms）：是指您在执行两个连续操作期间的等待时间。 压测时长（单位为min）：即测试任务阶段的持续时间，压测执行的时间。 思考时间并不会影响并发总的时长，它只会影响到您并发请求的个数。下面以一个例子来解释说明。 思考时间设置为1000ms，压测时长为10min，并发用户为10个。并发请求个数的计算公式为：压测时长并发用户/思考时间，根据公式得到的并发请求数为6000个（600s10/1s），那么此压测任务并发的总时长是10min，向服务端发送6000次查询请求。 说明 有的时候测试结果会发现并发请求数不到6000，会有一些小差距，这样也是正确的。因为请求过程中消息的响应如果不是立即的，则会有0.1秒的等待回执时间。 并发用户数是什么？ 压测是需要模拟用户实际业务操作的真实使用场景，并发用户数是模拟一定数量用户操作的一个配置。 例如，游戏网站某个时间点进行竞技活动，那么这个时候对设备的要求肯定是最高的。并发用户数就是模拟成千上万的用户在同一个时间点进行各种操作的配置数。 将并发用户数，同时结合并发时间和思考时间来进行计算并发请求的数量，压测出服务器最终饱和数据是多少，结合期望的最大值是多少来进行判断是否满足客户的需求。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

S3 Browser是一个支持S3接口服务的免费windows客户端工具。 安装方法 使用浏览器打开S3 Browser网站 使用方法 1、安装完成后双击打开客户端，点击菜单栏中“Accounts”，出现下拉菜单后再点击“Add new account..”，会弹出新增账号信息弹出框。 2、在弹出框中，填下相应的信息，点击“Add new account”保存。填写说明如下： l Account Name：用户根据自己的需要进行命名。 l Account Type：选择“S3 Compatible Storage”。 l REST Endpoint：填写对象存储节点地址访问域名，如xiongan2.zos.ctyun.cn。 l Access Key ID：用户需进入对象存储控制台，查看对象存储Access Key信息，复制粘贴到Access Key ID中。 l Secret Access Key：用户需选择上述Access Key对应的Secret Key进行填写。 l Use secure transfer(SSL/TLS)：外网使用需要勾选此选项，内网使用不用勾选。 注意 在云内使用S3 Browser，请勿勾选下方的"Use Secure Transfer"和"Verify SSL"。因为云内属于安全网络ZOS仅提供http访问，不提供https访问。 如果通过公网访问ZOS，则建议勾选"Use Secure Transfer"和"Verify SSL"。 3、账号添加成功后，您即可在工具中查看到ZOS中目前已经存在的桶和文件。用户点击相应的菜单和按钮进行桶和文件的管理。

漏洞等级 划分标准 严重 直接获取重要服务器（客户端）权限的漏洞。 包括但不限于远程任意命令执行、上传webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞；直接导致严重的信息泄漏漏洞。 包括但不限于重要系统中能获取大量信息的SQL注入漏洞；能直接获取目标单位核心机密的漏洞。 高危 直接获取普通系统权限的漏洞。 包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等；严重的逻辑设计缺陷和流程缺陷。 包括但不限于任意账号密码修改、重要业务配置修改、泄露；可直接批量盗取用户身份权限的漏洞。 包括但不限于普通系统的SQL注入、用户订单遍历；严重的权限绕过类漏洞。 包括但不限于绕过认证直接访问管理后台、cookie欺骗。运维相关的未授权访问漏洞。 包括但不限于后台管理员弱口令、服务未授权访问。 中危 需要在一定条件限制下，能获取服务器权限、网站权限与核心数据库数据的操作。 包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等；任意文件操作漏洞。 包括但不限于任意文件写、删除、下载，敏感文件读取等操作；水平权限绕过。 包括但不限于绕过限制修改用户资料、执行用户操作。 低危 能够获取一些数据，但不属于核心数据的操作；在条件严苛的环境下能够获取核心数据或者控制核心业务的操作；需要用户交互才可以触发的漏洞。 包括但不限于XSS漏洞、CSRF漏洞、点击劫持。

本节主要介绍分布式消息服务Kafka常用的应用场景 分布式消息服务Kafka主要适用于以下几种场景： 日志收集 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 支持实时在线分析系统和类似于 Hadoop 的离线分析系统。 Kafka本身的性能是非常高效的，同时Kafka的特性决定它非常适合作为"日志收集中心"，这是因为Kafka在采集日志的时候业务是无感知的，其能够兼容自己的上游，能够直接地通过配置加密消息。当日志数据发送到Kafka集群里面，其实对于业务而言是完全无侵入的。同时其在下游又能够直接地对接Hadoop/ODPS等离线仓库存储和Strom/Spark等实现实时在线分析。在这样的情况之下，使用Kafka，只需要用户去关注整个流程里面的业务逻辑，而无需做更多的开发就能够实现统计、分析以及报表。 流计算处理 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 通过支持流计算引擎，可对接开源 Storm/Samza/Spark 流计算引擎。 Kafka能够做到流计算处理，比如股市走向分析、气象数据测控、网站用户行为分析等领域，由于在这些领域中数据产生快、实时性强、数据量大，所以很难统一采集并入库存储后再做处理，这便导致传统的数据处理架构不能满足需求。而Kafka Stream以及Storm/Samza/Spark等流计算引擎的出现，可以根据业务需求对数据进行计算分析，最终把结果保存或者分发给需要的组件。