回答来自于问答智囊团成员：22 专栏：https://cloud.tencent.com/developer/column/89781 安装配置： 1. #yum install -y bind bind-chroot bind-utils 2.主配置文件/etc/named.conf ---- // // named.conf // //由Red Hat绑定程序包提供以配置名为（8）DNS的ISC BIND //服务器作为仅缓存名称服务器（仅作为localhost DNS解析器）。 // //例如，请参阅/ usr / share / doc / bind * / sample /以获取命名配置文件。 // //有关以下内容的详细信息，请参见BIND管理员参考手册（ARM）。 //配置位于/usr/share/doc/bind-{version}/Bv9ARM.html中 选项{ 监听端口53 {127.0.0.1; 172.16.3.82; }; ＃82为CVM内网IP v6监听端口53 {:: 1; }; 目录“ / var / named”； 转储文件“ /var/named/data/cache_dump.db”； 统计文件“ /var/named/data/named_stats.txt”； memstatistics文件“ /var/named/data/named_mem_stats.txt”; 递归文件“ /var/named/data/named.recursing”； secroots文件“ /var/named/data/named.secroots”； 允许查询{ }; ＃开放查询 / * -如果您要建立AUTHORITATIVE DNS服务器，请不要启用递归。 -如果要构建递归（缓存）DNS服务器，则需要启用 递归。 -如果递归DNS服务器具有公共IP地址，则必须启用访问权限 控制以将查询限制为您的合法用户。否则会失败 使您的服务器成为大规模DNS放大的一部分 攻击。在您的网络中实施BCP38将会极大 减少这种攻击面 * / 递归是；＃允许递归 dnssec启用否； dnssec验证号；＃这个配置非常重要，关闭dnssec检测 只向前 货运代理{ 183.60.83.19; ＃腾讯云VPC环境下预设DNS地址（直接cat /etc/resolv.conf获取） 183.60.82.98; ＃腾讯云VPC环境下预设DNS地址 }; / * ISC DLV密钥的路径* / bindkeys文件“ /etc/named.root.key”； 受管密钥目录“ / var / named / dynamic”； pid文件“ /run/named/named.pid”； 会话密钥文件“ /run/named/session.key”； }; 记录{ 频道default_debug { 文件“ data / named.run”； 严重程度动态 }; }; 区域“。” IN { 类型提示； 文件“ named.ca”； }; ＃测试域名（用户业务内网解析域名） 区域“ aaa.com”在{ 型主 文件“ aaa.com.zone”； }; ＃增加依据不同的域名转发到不同的引入DNS服务器 区域“ qq.com”在{ 向前输入 先发 货运代理{8.8.8.8;}； }; 包括“ /etc/named.rfc1912.zones”； 包括“ /etc/named.root.key”； [root @ DNS1]＃ ---- 3.编写区域文件： ＃cat /var/named/aaa.com.zone $ TTL 1D @ IN SOA @ root.aaa.com。（ 0 一维 1小时 1瓦 3H） @ IN NS dns DNS在A 127.0.0.1中 www IN A 1.2.3.4 您处于1.71.3.4 ---- 4.测试检查配置文件 ＃named-checkconf -z /etc/named.conf ＃named-checkzone aaa.com.zone /var/named/aaa.com.zone ---- 5.启动服务 ＃systemctl开始命名 测试验证： 模仿业务机测试 📷 测试符合预期 备注： 1.该方案仅用于自建内网DNS解析做参考。如希望提供公网递归归零服务需要符合相关政策法规，可参见：https： //cloud.tencent.com/document/product/213/35533

挂QQ升级..............

回答来自于问答智囊团成员：赵智勇 专栏：https://cloud.tencent.com/developer/user/4476879 排查思路： 1.由于vnc和ssh都无法登录，需要进单用户模式，通过控制台进入linux单用户模式可参考： https://cloud.tencent.com/developer/article/1731813 2.进入系统后通过vim /var/log/secure查看日志，该文件一般用来记录安全相关的信息，记录最多的是哪些用户登录服务器的相关日志，发现没有异常日志，说明登录信息并未被记录到日志，可能是日志记录这一块有问题 📷 3.进入/var/log，看到btmp日志过大 📷 原因分析 可能是因为被频繁暴力破解，导致/var/log/btmp日志过大，该文件是记录错误登录的日志，该文件过大会导致登录的时候写入日志异常，所以无法正常登录 解决方案 在vnc登录不上的时候可以尝试通过ssh远程登录实例，登录上之后通过命令cat /dev/null > /var/log/btmp 清除btmp日志文件内容即可，如果ssh也无法正常登录，此时就需要通过单用户模式或者救援模式进入系统后再修改配置

回答来自于问答智囊团成员：赵智勇 专栏：https://cloud.tencent.com/developer/user/4476879 腾讯云控制台进入linux云服务器的单用户模式的步骤 1. 控制台选择VNC方式登陆服务器 2.下发Ctrl+Alt+Delete快捷键触发系统重启 3. 等待出现连接失败提示信息，快速刷新页面按上下键（↑↓）使系统停留在grub菜单步骤 4. 按e编辑内核进入单用户模式，或直接按c进入grub模式，如下图所示 📷 5.在进入grub模式之后，需要按照不同的操作系统类型进行操作 一. CentOS 6.x： （1）选择内核 📷 （2）按e （3）找到kernel开头的那一行按e 📷 （4）在行末加上 single 📷 （4） 输入完之后按回车，再按b启动当前选中的启动命令行 📷 二. CentOS 7.x： （1）选择内核 （2）按e （3）找到linux16开头的那一行，修改 ro 为 rw init=/bin/bash （也可以是/usr/bin/bash） （4） Ctrl+x启动系统，成功进入单用户模式 三. Ubuntu或debian： （1）选择内核 （2）按e （3）找到linux16开头的行，在行末加上quiet splash rw init=/bin/bash （4）Ctrl+x启动系统，成功进入单用户模式 四. suse （1）选择内核 （2）按e 📷 （3）找到linux开头的行，在splash参数前面加上rw，在后面加上1 📷 （4）Ctrl+x启动系统，成功进入单用户模式 五. tlinux （1）选择内核 （2）按e （3）选中kernel开头的那一行，按下e 📷 （4）在 256M 后面 空格 添加一个 1 然后回车，就可以进单用户模式啦 📷 以下以centos 7.X的视频作为一个操作参考： 📷

回答来自于问答智囊团成员：赵智勇 专栏：https://cloud.tencent.com/developer/user/4476879 1.在vnc无法正常登录时可以先尝试ssh能否正常登录进系统，如果ssh也不行就需要进单用户模式，通过控制台进入linux单用户模式可参考： https://cloud.tencent.com/developer/article/1731813 2.进入系统后通过vim /var/log/secure查看日志，该文件一般用来记录安全相关的信息，记录最多的是哪些用户登录服务器的相关日志，核实到有pam_tally2的报错信息 📷 3.进入/etc/pam.d后通过以下命令搜索日志中报错的pam模块的关键字pam_tally2，就找到了是login文件中配置了这个参数 find . | xargs grep -ri "pam_tally2" -l 📷 原因分析 由于VNC登录会调用/etc/pam.d/login这个pam模块进行校验，而在login这个配置文件中有加入了pam_tally2.so模块进行认证，如下图所示，如果登录失败超过配置的尝试次数登录账户就会被锁定一段时间，如果是因为被暴力破解也有可能导致账户被锁定从而无法登录 📷 pam_tally2.so模块的功能是设置Linux用户连续N次输入错误密码进行登陆时，自动锁定X分钟或永久锁定（这里的永久锁定指除非进行手工解锁，否则会一直锁定） pam_tally2模块参数详解： deny=n              失败登录次数超过n次后拒绝访问 lock_time=n         失败登录后锁定的时间（秒数） un lock_time=n       超出失败登录次数限制后，解锁的时间 no_lock_time        不在日志文件/var/log/faillog 中记录.fail_locktime字段 magic_root          root用户(uid=0)调用该模块时，计数器不会递增 even_deny_root      root用户失败登录次数超过deny=n次后拒绝访问 root_unlock_time=n  与even_deny_root相对应的选项，如果配置该选项，则root用户在登录失败次数超出限制后被锁定指定时间 解决方案 在vnc登录不上的时候可以尝试通过ssh远程登录实例，登录上之后临时注释掉pam_tally2.so模块的模块路径即可，如果ssh也无法正常登录，此时就需要通过单用户模式或者救援模式进入系统后再修改配置，如仍无法登录可以提交工单解决 在临时注释掉pam_tally2.so模块的配置之后需要核实账户锁定的根本原因是暴力破解还是因为人为误操作导致的登录失败，如果是被暴力破解导致的，建议可以参考如下方案加固安全策略： 1.修改服务器密码，密码设置大写、小写、特殊字符、数字组成的12-16位的复杂随机密码 2.删除服务器上设置的不需要的用户 3.将sshd的默认端口22改为其他1024-65535之间的非常用端口，避免因暴力破解导致用户被锁定，造成无法登录 Windows远程端口修改参考文档：https://cloud.tencent.com/developer/article/1052163 Linux远程端口修改参考文档：https://cloud.tencent.com/developer/article/1124500 4.腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，参考文档： https://cloud.tencent.com/document/product/215/20398 5.安装防护软件（云镜、云锁），并添加实时告警，有异常登录时，及时反馈到您 6.不建议向公网开放核心应用服务端口访问，例如mysql、redis等，您可修改为本地访问或禁止外网访问

回答来自于问答智囊团成员：赵智勇 专栏：https://cloud.tencent.com/developer/user/4476879 一.cvm实例跨可用区迁移 （1）针对系统盘制作自定义镜像 制作过程需要持续十分钟或更长时间，具体时间与实例的数据大小有关，请提前做好相关准备，以防影响业务 登录云服务器控制台，选择需要制作镜像的实例，单击【更多】>【实例状态】>【关机】，如下图： 📷 单击【更多】>【制作镜像】，如下图所示： 📷 （2）通过镜像在目标可用区创建实例 登录云服务器控制台，左侧导航栏中，单击【镜像】，进入镜像管理页面，找到第（1）步创建好的自定义镜像，在操作列中，单击【创建实例】，如下图： 📷 在购买实例的选项中选择想要迁移的目标可用区即可，如下图： 📷 （3）针对数据盘制作数据盘快照（如果没有数据盘无需进行此步操作） 如果存在多块数据盘就都需要做快照，具体步骤参考如下： 登录云硬盘控制台，选中指定数据盘所在行右侧的【创建快照】，然后点击确定即可，如下图： 📷 （4）通过快照创建云硬盘（如果没有数据盘无需进行此步操作） 通过上一步制作的每个快照分别创建云硬盘，具体步骤可参考如下： 登录快照列表页面，在目标快照所在行，单击【更多】选择【新建云硬盘】 📷 在【购买数据盘】对话框中设置可用区为目标可用区，如下图： 📷 （5）挂载云硬盘（如果没有数据盘无需进行此步操作） 把第（4）步购买的数据盘挂载到第（2）步新购的实例上，具体步骤可参考如下： 登录云硬盘控制台，在云硬盘列表页，勾选状态为待挂载的云硬盘，单击云硬盘列表上方的【挂载】进行批量挂载 📷 在弹出框中选择目标云服务器，单击【下一步】后，点击【开始挂载】 📷 📷 二.cvm实例跨地域迁移 （1）针对系统盘制作自定义镜像 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（1）步 （2）跨地域复制镜像 复制镜像支持国内至国内复制，国外至国外复制。如需从国内复制镜像到国外，或者从国外复制镜像到国内请提交工单。 步骤如下： 登录云服务器控制台，在左侧导航栏中，单击【镜像】，选择需要被复制的原始镜像地域，单击【自定义镜像】页签，在需要被复制镜像的实例行中，单击【更多】>【跨地域复制】，如下图选择的是北京地域 📷 在跨地域复制界面中选择目标地域，然后点击确定即可，如下图： 📷 （3）通过镜像在目标地域创建实例 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（2）步 （4）针对数据盘制作快照（如果没有数据盘无需进行此步操作） 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（3）步 （5）跨地域复制数据盘快照（如果没有数据盘无需进行此步操作） 支持地域请参见地域和可用区，其中北京金融地区暂不支持作为目标地域，金融专区仅支持金融专区之间的复制。 具体步骤可参考如下 登录快照列表页面，单击目标快照所在行的【跨地域复制】 📷 设置地域为目标地域 📷 单击【确定】即可开始复制，源快照将增加状态提示，目标地域将新增一个快照。 （6）通过快照创建云硬盘（如果没有数据盘无需进行此步操作） 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（4）步 （7）挂载云硬盘（如果没有数据盘无需进行此步操作） 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（5）步 三.cvm实例跨账号迁移 （1）在源端账号上针对实例的系统盘制作自定义镜像 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（1）步 （2）在源端账号上共享自定义镜像给目标账号 镜像支持共享到对方账号相同地域内；若需共享到不同地域，需先复制镜像到不同地域再进行共享。 具体步骤如下： 登录云服务器控制台，在左侧导航栏中，单击【镜像】，在自定义镜像列表中，选中您要共享的自定义镜像，单击右侧【共享】 📷 在弹出的“共享镜像”窗口中，输入对方主账号的账号 ID，单击【共享】 📷 （3）在目标账号上通过镜像创建实例 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（2）步 （4）在源端账号上针对数据盘制作快照（如果没有数据盘无需进行此步操作） 详细指引可参考本文中”cvm实例跨可用区迁移”中的第（3）步 （5）在源端账号上共享数据盘快照给目标账号（如果没有数据盘无需进行此步操作） 注意系统盘快照及加密快照不支持共享 快照支持共享到对方账号相同地域内。如需共享到不同地域，需先复制快照到对应地域再进行共享，可参见跨地域复制快照 具体步骤如下： 进入快照列表页面，选择需共享的快照所在行右侧的【更多】>【共享快照】 📷 在弹出的“共享快照”窗口中，输入对方主账号的账号 ID，单击【共享】即可共享该快照 📷 （6）在目标账号上通过快照创建云硬盘（如果没有数据盘无需进行此步操作） 在目标可用区通过上一步制作的每个快照分别创建云硬盘，具体步骤可参考如下官网指引： https://cloud.tencent.com/document/product/362/5757 （7）在目标账号上挂载云硬盘（如果没有数据盘无需进行此步操作） 挂载云硬盘到第（3）步创建的实例上，具体步骤可参考如下官网指引： https://cloud.tencent.com/document/product/362/5745 不支持上述方案的特例 （1）部分机型不支持上述方案实现跨可用区迁移，如： 大数据型D1，D2、高IO机型I3，IT3，IT5机型 （2）数据盘为本地盘的实例也不支持上述方案 以上两种特例如果系统是linux的话可以通过在线迁移的方式间接实现，可参考：https://cloud.tencent.com/developer/article/1687584 如果系统是windows的话可以通过离线迁移的方式间接实现，可参考：https://cloud.tencent.com/developer/article/1687617

回答来自于问答智囊团成员：张晗 专栏：https://cloud.tencent.com/developer/user/3172953 解决方案： 1、可以更换本地网络（例如连接手机热点等更换本地运营商出口）ping服务器测试是否正常，如果正常可以初步判断和运营商网络有关系。 2、请提供测试信息，提交到工单，让工程师帮忙进一步确认。 提交工单入口：https://console.cloud.tencent.com/workorder/category 测试信息获取方式如下： 本地电脑操作： ①本地电脑浏览器访问【ping.huatuo.qq.com】截图 ，可获得本机IP； 📷 ②本地电脑【ping 服务器IP -t】一分钟后停止（Ctrl + C），最后一部分结论的完整截图； 📷 ③本地电脑使用MTR测试【服务器IP】3分种后截图和保存文本txt格式（txt格式保存请点击【Export TEXT】）的测试信息； 📷 PS：Windows mtr在这里下载 https://mtr-1251908826.cos.ap-beijing.myqcloud.com/WinMTR.7z 服务器上操作： linux服务器 ④在服务器端【ping 本地电脑IP 】一分钟后停止(Ctrl + C)，最后一部分结论的完整截图； 📷 ⑤在服务器端【mtr -r -c100 本地电脑IP】截图和文本txt格式的信息 ； 📷 Windows服务器： ④在服务器端【ping 本地电脑IP -t】一分钟后停止(Ctrl + C)，最后一部分结论的完整截图； 📷 ⑤在服务器段使用MTR测试【服务器IP】3分种后截图和保存文本txt格式（txt格式保存请点击【Export TEXT】）的测试信息； 📷 PS：如无法登陆服务器可以参考vnc登录方式https://cloud.tencent.com/developer/article/1371206 PS：Windows mtr在这里下载 https://mtr-1251908826.cos.ap-beijing.myqcloud.com/WinMTR.7z

回答来自于问答智囊团成员：赵智勇 专栏：https://cloud.tencent.com/developer/user/4476879 排查思路： 1.在vnc无法正常登录时可以先尝试ssh能否正常登录进系统，如果ssh也不行就需要进单用户模式，通过控制台进入linux单用户模式可参考： https://cloud.tencent.com/developer/article/1731813 2.进入系统后通过vim /var/log/secure查看日志，该文件一般用来记录安全相关的信息，记录最多的是哪些用户登录服务器的相关日志，核实到有/lib/security/pam_limits.so的报错信息 📷 3.进入/etc/pam.d后通过以下命令搜索日志中报错的pam模块的关键字/lib/security/pam_limits.so，就找到了是system-auth文件中配置了这个参数 find . | xargs grep -ri "/lib/security/pam_limits.so" -l 📷 原因分析： 由于VNC登录会调用/etc/pam.d/login这个pam模块进行校验，而这个模块会将/etc/pam.d/system-auth这个模块引入进行校验，如下图是/etc/pam.d/login配置文件的内容： 📷 导致登录失败的原因是system-auth配置文件中的pam_limits.so模块的模块路径写错了，pam_limits.so模块的主要功能是限制用户会话过程中对各种系统资源的使用情况，这里如果是64位的系统可以写成绝对路径/lib64/security/pam_limits.so，也可以直接写成相对路径pam_limits.so,写错路径的话会导致找不到对应的认证模块，导致登录认证报错。 📷 解决方案 在vnc登录不上的时候可以尝试通过ssh远程登录实例，登录上之后修改pam_limits.so模块的模块路径即可，如果ssh也无法正常登录，此时就需要通过单用户模式或者救援模式进入系统后再修改配置，如仍无法登录可以提交工单解决

云计算安全解决方案的五大优势 云计算彻底改变了信息技术的格局。几年前，一些大公司通过投资昂贵的定制现场软件来实现规模经济，这些软件由高技能IT员工组成。但现在，它已全部改变，并被云取代。 随着越来越多的公司将其基础架构和数据迁移到云，这里出现的最关键问题与云计算的安全性有关。云安全性在网络基础架构中提供额外的控制层，以适应保护和连续性。这对于创建直接适用于全球公司的环境至关重要。 本文将向您介绍云计算安全解决方案的优势，该解决方案通过与先进的私有云计算提供商合作完成，从而消除组织安全方面的挑战。 但在此之前，让我先介绍一下云安全性。 什么是云计算安全？ Cloud Security包括所有有用的服务，包括防病毒，URL过滤器，防火墙，沙箱，统一平台中的SSL检测。您将获得完全的证明安全性，而不会产生高成本和复杂性。由于云中存在安全性，因此可以弥补移动性带来的安全漏洞。 由于其全球存在，云检查整个传出和传入流量，即使它是加密的，只是为了确保网络内部没有任何不良内容。 云计算安全的五大优势 1.帮助抵御分布式拒绝服务攻击 在DDoS中，黑客将来自不同资源的流量重定向到目标网站服务器。系统由传入流量响应，并且无法停止从网站用户收到请求。DDoS攻击能够在几个小时甚至几天内停止运营网站。这会给公司带来巨大损失。 为了解决这些问题，云安全解决方案允许您执行实时扫描并识别完整的DDoS攻击。每当检测到任何传入攻击时，系统会在不同的存在点向网站管理和警卫发出警报。 2.通过数据存储法帮助解决数据泄露问题 在许多情况下，出现了各种数据泄露和安全问题。许多组织遵守监管机构概述的数据存储和使用指南。云安全解决方案包含报告生成功能，因此，它带有一个解决方案，可帮助执行安全审计跟踪，最终检测任何数据篡改工作。 3.全天候支持 云安全解决方案为客户提供全天候的客户支持。它提供24×7实时监控。它可以帮助您克服任何问题，如停机时间。云安全解决方案具有内置功能，可提供丢失数据的复制副本。 4.改进对任何数据泄露的防护 违反有价值的数据和文件是任何企业最关心的问题之一。一份报告显示，去年有超过30亿的在线记录被盗。云安全解决方案可帮助您解决任何数据泄露问题。 云安全解决方案具有各种安全协议以及不同的控件。您可以自由选择可以访问数据的用户，这些数据外包给云。此外，一些更多的安全解决方案不仅可以帮助您了解篡改工作，还可以帮助您恢复丢失的数据。 5.帮助您实现大幅节省 如果您安装物理基础架构以避免云攻击，则可能导致高额费用。您可以通过将此任务外包给外部机构来减少这些不必要的成本。您只需支付定期订阅费用，这将远远低于安全基础设施。这使您可以保持专用的安全性，帮助您激励大量节省。

bd_logo1.png<img/src=1 onerror=alert(1)><script>alert(1)</script> 视频内容 [表格]

1、对称加密算法 所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则，规定如何进行加密和解密。 分类 常用的算法有：DES、3DES、AES等。 DES 全称为Data Encryption Standard，即数据加密标准，是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 3DES 即TripleDES，是DES向AES过渡的加密算法，它使用3条56位的密钥对数据进行三次加密。是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法。比起最初的DES，3DES更为安全。 AES 全称为Advanced Encryption Standard，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。 2、非对称性加密算法 与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 分类 常用的算法有：RSA、DSA、ECC等。 RSA 全称为Digital Signature Algorithm，是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现今的三十多年里，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。 DSA 全称为Digital Encryption Standard，是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开，这样，当使用别人的p和q时，即使不知道私钥，你也能确认它们是否是随机产生的，还是作了手脚。RSA算法却做不到。 ECC 全称为Elliptic Curves Cryptography,，也叫椭圆加密算法，是一种公钥加密体制，最初由Koblitz和Miller两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。 3、散列算法 在信息安全技术中，经常需要验证消息的完整性，散列（Hash）函数提供了这一服务，它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”（Message digest）。 分类 常用的算法有：MD5、SHA、HMAC等。 MD5 全称为Message Digest Algorithm，即中文名为消息摘要算法第五版，为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。 SHA 全称为Secure Hash Algorithm，即安全哈希算法，主要适用于数字签名标准（Digital Signature Standard DSS）里面定义的数字签名算法（Digital Signature Algorithm DSA）。有SHA-1，SHA-224，SHA-256，SHA-384，和SHA-512这几种单向散列算法，其中SHA-1已经不安全。 HMAC 全称为Hash Message Authentication Code，即散列消息鉴别码，主要是利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。一般的，消息鉴别码用于验证传输于两个共 同享有一个密钥的单位之间的消息。HMAC 可以与任何迭代散列函数捆绑使用。MD5 和 SHA-1 就是这种散列函数。HMAC 还可以使用一个用于计算和确认消息鉴别值的密钥。

建议使用mosh。 安装 需在客户端和服务器上安装Mosh。 Ubuntu上： sudo apt-get install python-software-properties sudo add-apt-repository ppa:keithw/mosh sudo apt-get update sudo apt-get install mosh Debian上： sudo apt-get install mosh Arch Linux上： pacman -S mosh Fedora上： sudo yum install mosh 对于任何其他操作系统，如OSX或Windows，请参阅Mosh文档。 防火墙配置 如果CVM上配置了防火墙（推荐），需要打开Mosh所需的额外端口。可以使用腾讯云的安全组进行配置，也可以使用下面的方法进行配置。 如果你直接使用iptables，以下命令将打开Mosh所需的端口： sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT 在默认情况下，系统重新引导后不会保留此防火墙设置。 如果你使用的是UFW，则可以使用以下命令打开端口： sudo ufw allow 60000:61000/udp 如果你使用任何其他程序来管理防火墙，则需要手动确保打开从60000到61000的UDP端口。

如何选择加密算法还是取决于用户及网站的需求来定。腾讯云服务器云加密主要采用对称加密算法，做加密权鉴处理；可防盗链。 加密算法主要分为以下几种： 1、对称加密算法 所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则，规定如何进行加密和解密。 分类 常用的算法有：DES、3DES、AES等。 DES 全称为Data Encryption Standard，即数据加密标准，是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 3DES 即TripleDES，是DES向AES过渡的加密算法，它使用3条56位的密钥对数据进行三次加密。是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法。比起最初的DES，3DES更为安全。 AES 全称为Advanced Encryption Standard，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。 优缺点 对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。 对称加密算法的缺点是在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担。 应用 保存用户手机号、身份证等敏感但能解密的信息 2、非对称性加密算法 与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 分类 常用的算法有：RSA、DSA、ECC等。 RSA 全称为Digital Signature Algorithm，是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现今的三十多年里，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。 DSA 全称为Digital Encryption Standard，是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开，这样，当使用别人的p和q时，即使不知道私钥，你也能确认它们是否是随机产生的，还是作了手脚。RSA算法却做不到。 ECC 全称为Elliptic Curves Cryptography,，也叫椭圆加密算法，是一种公钥加密体制，最初由Koblitz和Miller两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。 与RSA，DSA相比，ECC有以下优点： 安全性高，有研究表示160位的椭圆密钥与1024位的RSA密钥安全性相同。 处理速度快，在私钥的加密解密速度上，ecc算法比RSA、DSA速度更快。 存储空间占用小。 带宽要求低. 优缺点 非对称加密与对称加密相比，其安全性更好：对称加密的通信双方使用相同的秘钥，如果一方的秘钥遭泄露，那么整个通信就会被破解。而非对称加密使用一对秘钥，一个用来加密，一个用来解密，而且公钥是公开的，秘钥是自己保存的，不需要像对称加密那样在通信之前要先同步秘钥。 非对称加密的缺点是加密和解密花费时间长、速度慢，只适合对少量数据进行加密。 应用 一般用于签名和认证 3、散列算法 在信息安全技术中，经常需要验证消息的完整性，散列（Hash）函数提供了这一服务，它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”（Message digest）。 分类 常用的算法有：MD5、SHA、HMAC等。 MD5 全称为Message Digest Algorithm，即中文名为消息摘要算法第五版，为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。 SHA 全称为Secure Hash Algorithm，即安全哈希算法，主要适用于数字签名标准（Digital Signature Standard DSS）里面定义的数字签名算法（Digital Signature Algorithm DSA）。有SHA-1，SHA-224，SHA-256，SHA-384，和SHA-512这几种单向散列算法，其中SHA-1已经不安全。 HMAC 全称为Hash Message Authentication Code，即散列消息鉴别码，主要是利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。一般的，消息鉴别码用于验证传输于两个共 同享有一个密钥的单位之间的消息。HMAC 可以与任何迭代散列函数捆绑使用。MD5 和 SHA-1 就是这种散列函数。HMAC 还可以使用一个用于计算和确认消息鉴别值的密钥。 应用 效验下载文件正确性，一般在网站上下载文件都能见到 存储用户敏感信息，如密码、 卡号等不可解密的信息 建议 AES采用128为即可，RSA建议采用1024位的数字，ECC建议采用160位。RSA加密字符长度有限制，一般采用AES+RSA方式组合使用。 误区 很多博客把Base64编码也当做一种加密算法来解释，这是不严谨的。Base64是没有可读性，但不代表这个编码就是加密的。加密需要保证没有密钥的人无法解密信息，更无法从密文中破解任何明文信息，但Base64可以很轻松的反编码。另外，Base64编码也显然没有用到密钥，不具有加密算法的安全性，所以，这个误区大家要纠正过来。

深度学习是执行更高级别复杂任务的关键，成功构建和部署它们对全球数据科学家和数据工程师来说是一个巨大的挑战。今天，我们拥有无数的框架，使我们能够开发出可以提供更好抽象级别的工具，同时简化困难的编程挑战。 每个框架都以不同的方式构建，以用于不同的目的。介绍以下这8个深度学习框架，以便您更好地了解哪个框架最适合您，或者在解决您的业务挑战时更方便。 Tensorflow 📷 可以说是最好的深度学习框架之一，现在已被大规模的几家巨头采用，如空中客车，Twitter，IBM等，这主要归功于其高度灵活的系统架构。 最着名的TensorFlow用例必须是谷歌翻译，加上自然语言处理，文本分类/摘要，语音/图像/手写识别，预测和标记等功能。 TensorFlow可在桌面和移动设备上使用，并且还支持Python，C ++和R等语言，以创建深度学习模型以及包装器库。 TensorFlow附带2个广泛使用的工具 - TensorBoard用于网络建模和性能的有效数据可视化 TensorFlow用于快速部署新算法/实验，同时保留相同的服务器架构和API。它还提供与其他TensorFlow模型的集成，这与传统实践不同，可以扩展为其他模型和数据类型。 如果您在深度学习方面碰巧迈出了第一步，那么您应该选择TensorFlow，这是基于Python的，由Google支持，并附带文档和演练来指导您。 Caffe 📷 Caffe是一个深度学习框架，支持C，C ++，Python，MATLAB等接口以及命令行界面。众所周知，它的速度和可转换性及其在卷积神经网络（CNN）建模中的适用性。使用Caffe的C ++库（附带Python接口）的最大好处是从深度网络存储库“Caffe Model Zoo”访问可用网络，这些网络已经过预先培训，可以立即使用。无论是建模CNN还是解决图像处理问题，这都必须成为首选图书馆。 Caffe最大的USP就是速度。它可以使用单个Nvidia K40 GPU每天处理超过六千万张图像。这是用于推理的1 ms /图像和用于学习的4 ms /图像，更新的库版本仍然更快。 Caffe是一种流行的视觉识别深度学习网络。但是，Caffe不支持像TensorFlow或CNTK中那样的细粒度网络层。鉴于该体系结构，对循环网络和语言建模的总体支持非常差，并且建立复杂的层类型必须以低级语言完成。 Microsoft Cognitive Toolkit / CNTK 📷 Microsoft Cognitive Toolkit（以前称为CNTK）是一种开源深度学习框架，用于训练深度学习模型，因其易于培训和跨服务器的流行模型类型而闻名。它执行有效的卷积神经网络和基于图像，语音和文本的数据培训。与Caffe类似，它受Python，C ++和命令行界面等接口的支持。 鉴于其资源的连贯使用，可以使用工具包轻松完成强化学习模型或生成对抗网络（GAN）。众所周知，与在Theano或TensorFlow等工具包上运行时，在多台机器上运行时，可提供更高的性能和可扩展性。 与Caffe相比，在发明新的复杂层类型时，由于构建块的精细粒度，用户不需要以低级语言实现它们。Microsoft Cognitive Toolkit支持RNN和CNN类型的神经模型，因此能够处理图像，手写和语音识别问题。目前，由于缺乏对ARM架构的支持，移动设备的功能相当有限。 火炬/ PyTorch 📷 Torch是一种科学计算框架，可为机器学习算法提供广泛支持。它是一个基于Lua的深度学习框架，广泛应用于Facebook，Twitter和Google等行业巨头。它采用CUDA和C / C ++库进行处理，基本上是为了扩展建筑模型的生产和整体灵活性。 毕竟，PyTorch已经在深度学习框架社区中获得了很高的采用率，并且被认为是TensorFlow的竞争对手。PyTorch基本上是Torch深度学习框架的一个端口，用于构建深度神经网络和执行高度复杂的张量计算。 与Torch相反，PyTorch在Python上运行，这意味着任何对Python有基本了解的人都可以开始构建他们自己的深度学习模型。 鉴于PyTorch框架的架构风格，与Torch相比，整个深度建模过程更简单，更透明。 MXNet 📷 MXNet（发音为mix-net）专为高效率，高生产率和灵活性而设计，是一个深度学习框架，由Python，R，C ++和Julia支持。 MXNet的优点在于它为用户提供了使用各种编程语言（Python，C ++，R，Julia和Scala等）编写代码的能力。这意味着您可以使用您喜欢的任何语言训练您的深度学习模型，而无需从头学习新东西。使用C ++和CUDA编写的后端，MXNet能够扩展和使用无数的GPU，这使得它对企业来说是不可或缺的。例如 - 亚马逊使用MXNet作为深度学习的参考库。 MXNet支持长短期内存（LTSM）网络以及RNN和CNN。 这种深度学习框架以其在成像，手写/语音识别，预测以及NLP方面的能力而闻名。 Chainer 📷 高度强大，动态和直观 - Chainer是一个基于Python的神经网络深度学习框架，它是根据运行策略定义而设计的。与使用相同策略的其他框架相比，您可以在运行时修改网络，从而允许您执行任意控制流语句。 Chainer支持CUDA计算和多GPU。该深度学习框架主要用于使用RNN和CNN进行情感分析，机器翻译，语音识别等。 Keras 📷 Keras神经网络库（支持接口 - Python）以极简主义而闻名，支持卷积网络和循环网络，能够在TensorFlow或Theano上运行。该库是用Python编写的，并且作为其USP开发了快速实验。 由于TensorFlow接口有点具有挑战性，而且它是一个低级库，可能对新用户来说很复杂，因此Keras的构建旨在通过构建有效的快速原型设计提供简单的界面。可以使用TensorFlow的神经网络。 轻量级，易于使用，并且通过堆叠多个层来构建深度学习模型非常简单 - 简而言之就是Keras。这就是为什么Keras成为TensorFlow核心API的一部分的原因。 Keras的主要用途是分类，文本生成和摘要，标记，翻译以及语音识别等。如果您恰好是具有Python经验的开发人员并希望深入学习，那么Keras肯定是值得一试的。 Deeplearning4j 📷 通过迭代减少，微服务架构适配以及分布式CPU和GPU的并行训练是Deeplearning4j深度学习框架的一些显着特征。它是用Java和Scala开发的，也支持其他JVM语言。 广泛采用作为商业，行业为重点的分布式深度学习平台，这个深度学习框架的最大优势是，您可以将整个Java生态系统整合在一起，以执行深度学习，并且可以在Hadoop和Spark之间进行管理以协调编排多个主机线程。DL4J使用map reduce来训练网络，同时依赖于其他库来执行大型矩阵操作。 Deeplearning4j通过RBM，DBN，卷积神经网络（CNN），递归神经网络（RNN），递归神经张量网络（RNTN）和长期短期记忆（LTSM）提供深度网络支持。 由于这个深度学习框架是用Java实现的，因此与Python相比，它更有效。当涉及使用多个GPU的图像识别任务时，它与Caffe一样快。该框架显示出无与伦比的图像识别，欺诈检测，文本挖掘，词性标注和自然语言处理的潜力。 使用Java作为您的核心编程语言，如果您正在寻找一种将深度学习模型部署到生产的强大而有效的方法，那么您当然应该选择这种深度学习框架。 很明显，深度学习的出现已经引发了许多机器学习和人工智能的实际使用案例。深度学习可能以最简单的方式分解任务，以便以最有效的方式协助机器。 话虽如此，上面列表中哪个深度学习框架最适合您的要求？对此的答案取决于许多因素，但是，如果您只是想要开始，那么基于Python的深度学习框架（如TensorFlow或Chainer）应该是您的选择。如果您恰好经验丰富，在选择最佳深度学习框架之前，您需要考虑速度，资源需求和使用情况以及训练模型的一致性。

主机迁移概述 在云计算时代，不管是从IDC上云还是多云直接的迁移，都已经是常见的事宜。而在上云/迁移的方案中，也是有多种的方式能够将主机迁移到腾讯云中。 [图片] 然而，不同的方式会有不同的利弊。 [图片] 目前，腾讯云可以提供导入镜像和服务迁移（冷迁移）的工具，而这两种方式均涉及到镜像制作。故本文将分享镜像制作的操作步骤，仅供参考。 1、在制作镜像之前需要了解符合导入腾讯云的镜像文件要求，详情可参考导入镜像概述。 [图片] Linux 系统类型镜像限制 [图片] Windows 系统类型镜像限制 2、接下来则依据操作系统的不同，选择不同的镜像制作方法。请分别参考官网文档Linux 镜像制作和Windows 镜像制作。 3、在制作镜像之前，需要在Linux操作系统里安装cloud-init，在Widows操作系统里安装cloud-base。相应的操作可以查看官网文档Linux 系统安装 cloud-init和Windows 系统安装 cloud-base。 4、镜像制作完毕之后，则需要将镜像上传至COS。 5、当镜像已经上传到COS之后，则可以利用【导入镜像】将自定义镜像导入到镜像控制台，然后再基于该自定义镜像创建CVM。或者利用【服务迁移】的功能，直接从COS拉取镜像并创建CVM。 [图片] 相应的操作指引，其实官网文档均已提供，而本文将作为实践的一些经验分享，供大家参考，希望对大家有帮助。 镜像制作 Linux和Windows镜像制作的完整步骤官网文档均已给出参考文档，这里补充两个信息。 1、如果是友商云主机，Linux系统的则可以使用qemu-img 命令或者 dd 命令来制作镜像；如果是Windows系统则可以使用disk2vhd工具来制作镜像。 2、如果是在本地IDC的虚拟机，可以使用虚拟化平台自带的一些镜像导出功能或者镜像制作工具来制作镜像。 3、如果是本地IDC的物理机，可是使用一些P2V的工具来制作或者参考1使用相关命令来制作。 友商云主机镜像制作（示例） 本示例是通过dd命令将某云主机制作成镜像，参考步骤如下。 0、制作镜像之前，请先在操作系统内安装cloud-init（Linux系统），详细操作方法参考第二部分介绍。 1、由于需要将云主机通过dd方式将整个操作系统盘备份到数据盘，所以需要给云主机挂一个约为系统盘2倍容量的数据盘(单独 购买的数据盘 需要先 挂载数据盘，然后格式化)。 2、一般云主机里面都有一些云厂商的agent或者服务，比如腾讯云的云监控、云安全的agent。当要把某云主机迁移到腾讯云时，应该把该云主机内特定的一些组件和服务卸载掉或者禁用掉。 3、使用 dd 命令制作镜像 dd if=/dev/vda of=/mnt/xxx_yun.raw bs=100M 请务必写成/dev/vda而不要写成/dev/vda1，否则dd出来的镜像分区表和mbr信息都丢了 4、使用qemu-img 命令将raw文件转换成qcow2文件，以可以节省传输和迁移的时间。 qemu-img convert -f raw -O qcow2 xxx_yun.raw xxx_yun.qcow2 5、将qcow2镜像文件上传到腾讯云COS 安装coscmd工具，pip install coscmd（在某云主机上操作）； 创建bucket（在腾讯云控制台操作，示例melodytest01）； 使用命令将镜像上传至COS； coscmd config -a <access_id> -s<secret_key> -u <appid> -b melodytest01 -r ap-beijing -m 10 -p 10 coscmd upload /mnt/xxx_yun.qcow2 xxx_yun.qcow2 6、 等待一段时间之后，登录腾讯云COS控制台则可以看到镜像已经成功从某友商云传到COS了。 vmware vsphere 导出镜像（参考） [图片] 打开虚拟机的编辑设置界面 [图片] vmdk磁盘文件路径 [图片] 这就是vmdk镜像文件了 cloud-init安装 关于Cloud-init和Cloud-base的安装，官网上也给出了参考文档。而Linux系统作为常用的系统，本文的实践示例则以Cloud-init为例。 cloud-init简单介绍 cloud-init 主要提供了一个实例首次初始化时的自定义配置的能力，如果导入的镜像没有安装cloud-init服务，通过该镜像启动的实例就不会被正常初始化，因此该镜像就会导入失败。因此再制作镜像之前应当在系统内安装cloud-init。 Cloud-Init 是一个用来自动配置虚拟机的初始设置（如主机名、网卡、用户名和密码等）的开源工具；常用于在创建虚拟机时通过元数据服务对虚拟机基本配置，即主要用于解决云计算场景下使用不同镜像创建子机初始化问题。 cloud-init仅仅在系统启动时运行，不会常驻系统； 需要将cloud-init设置开机启动，且不能在首次开机启动后取消cloud-init的开机启动。虽然第一次开启启动，cloud-init运行了之后初始化正常了，然而考虑到后续用户有重置密码、修改ip、加载密钥等需求，仍需要依赖cloud-init，所以如果用户在cloud-init初始化之后就取消了其开机启动则会在用户重启系统之后，影响重置密码、修改ip、加载密钥等功能； cloud-init每次启动的时候会根据预先配置好的数据源从metadata server 或 configDrive 里面拉取实例元数据对虚拟机进行初始化（该初始化操作只有在虚拟机首次启动时才会被执行），拉取userdata的信息执行用户自定义的脚本行为； 当系统启动时，cloud-init 可完成包括但不限于下面的定制化工作： 设置 default locale 设置 hostname 添加 ssh keys到 .ssh/authorized_keys 设置用户密码 配置网络 安装软件包 cloud-init 安装 tips cloud-init的安装其实还是挺简单的，最麻烦的是安装依赖包。不同操作系统的依赖包的依赖包的版本还不一样，如果是不能联网的情况下安装，更是一件麻烦的事情。详细步骤可以查看官网文档Linux 系统安装 cloud-init，而我在此则仅补充相关tips，希望对大家有帮助。 直接通过apt-get 或 yum 命令安装的cloud-init 版本默认为当前操作系统配置的软件源里面默认的cloud-init版本，通常情况下和cloud-init 最新版本存会存在比较大的差异，使用这种方式安装的镜像创建出来的实例可能会存在部分配置项初始化不符合预期的情况，建议使用手工下载最新cloud-init源码包的方式进行安装。 如果机器能联网，可直接运行命令进行安装依赖包，参考命令如下： yum intstall -y python-setuptools python-jinja2 python-prettytable python2-oauthlib python-configobj PyYAML python-requests python-jsonpatch python-six 如果机器不能联网，则可以找台与要制作镜像的机器同操作系统版本的可以联网的机器，然后新建一个requirement.txt，将需要安装的cloud-init的包都放进去requirement.txt，然后运行命令 pip download -d -r requirements.txt，这样全部的依赖包都会被下下来了，最后，再将这些包放入那台需要制作的机器即可。 [图片] requirement.txt的截图 最后，补充一份我实际测试时安装的依赖包，供参考： certifi-2017.11.5 chardet-3.0.4 configobj-5.0.6 functools32-3.2.3-2 idna-2.6 Jinja2-2.10 jsonpatch-1.20 jsonpointer-1.14 jsonschema-2.6.0 MarkupSafe-1.0 oauthlib-2.0.6 prettytable-0.7.2 PyYAML-3.12 requests-2.18.4 setuptools-38.2.4 six-1.11.0 urllib3-1.22 说明，以上依赖包我都是用pip安装的，可以在https://pypi.python.org/pypi 下载。 也可以安装rpm包，可以在http://mirrors.cloud.tencent.com/epel/ 找合适的包来安装。安装完成之后，请运行以下命令检查下是否都安装好了 rpm -qa | grep setuptools rpm -qa | grep jinja2 rpm -qa | grep prettytable rpm -qa | grep oauthlib rpm -qa | grep configobj rpm -qa | grep PyYAML rpm -qa | grep requests rpm -qa | grep jsonpatch rpm -qa | grep jsonschema rpm -qa | grep six 如果没有安装好，在安装cloud-init的时候也会提示缺少某某依赖包，到时候按照要求再安装即可； 需要安装的依赖包，其实都装cloud-init安装包的requirements.txt文件中定好了包括版本要求。cat /cloud-init-17.2/requirements.txt即可查看。 修改 cloud-init 配置文件 tips 发现部分用户，安装好cloud-init之后就制作镜像了，上传到腾讯云之后，创建了CVM会发现一些异常，检查会发现，原来是没有按照官方要求进行cloud-init 配置文件的修改导致的。所以，这个步骤千万别漏了。很重要哈。 官网上给出了ubuntut和centos的参考配置文件，直接下载，然后替换即可。 设置 cloud-init 服务开机自启动 tips 这块的操作官网也给出了详细的文档说明，但是是以systemd 自启动服务管理为例。而实际上是需要根据当前操作系统使用的自启动服务管理方式是什么进行选择，如果选择出错则 cloud-init 服务无法开机自启动。 比如，在我的测试中，则发现systemctl: command not found，我测试的操作系统版本则是用service命令来启动。 关于安装cloud-init后的操作 经常有些用户辛辛苦苦把镜像上传到cos了，到了导入镜像，半天过去导入失败了，才发现cloud-init的安装有问题。那么，如何可以确认我们安装的cloud-init是没问题的呢？下面的方法，供参考。 1、 运行cloud-init init —local 2、执行 ll /var/lib/cloud，正常会看到如下截图内容 [图片] 3、执行rm -rf /var/lib/cloud 4、重启你的服务器，正常情况下，每次重启都会成/var/lib/cloud 5、也可以执行cloud-init status看下状态是否正常。 将镜像导入COS 将镜像文件上传到COS，有多种工具可支持，详情可参考官网文档COS 用户工具，也可以使用控制台的方式将镜像上传至COS。由于操作较为简单，我就不再重复演示。 导入镜像功能使用 关于导入镜像的详细介绍可查看官网文档导入镜像概述，该功能需要开启白名单方可使用。相关操作演示如下，仅供参考。 1、登录镜像控制台，选择地域（请选择与存放镜像的COS的bucket同个地域），然后点击【导入镜像按钮】。 [图片] 2、阅读导入镜像的步骤，并且确认所有准备步骤已经完成。 [图片] 3、填写信息，并且开始导入。 关于镜像文件URL：选择存储镜像的bucket，找到镜像文件，然后点击【文件信息】，在弹出来的框里面，把【源文件链接】的信息复制出来，就是镜像文件URL了 [图片] [图片] 关于地域，请选择Bucket（存放镜像文件的Bucket）所在的地域。其余的信息，如实按照镜像的实情填写即可。 [图片] 关于导入方式，如果正常安装了cloud-init，则选择【正常】，否则请选择【强制】。 [图片] 补充，若非级特殊的情况无法安装cloud-init，否则请不要选择强制导入。强制导入的镜像，由于没有cloud-init，基于该镜像创建的CVM，无法初始化，需要再创建CVM之后，登录操作系统进行许多初始化操作，是一件较为麻烦的事情。 最后，则是点击【开始导入】，等待一段时间之后，会有站内信通知导入的结果。由于没有进度条之类的信息，无法预估预计还需要多久才能有结果。期间可以登录操作日志控制台进行查看状态。 [图片] [图片] 操作日志控制台 镜像导入成功之后，则可以登录镜像控制台，找到已经成功导入的镜像，然后基于该镜像创建云主机。 [图片] 服务迁移工具使用 近期腾讯云也推出了新功能【服务迁移】，和【导入镜像】的功能的差异，简单描述如下。 1、导入镜像，只能导入系统盘，数据盘无法导入。而使用【云服务器迁移】功能，可以将系统盘和数据盘都导入到腾讯云。 2、导入功能，步骤是把存在COS的镜像导入到镜像控制台，然后再基于该镜像创建CVM；而云服务器迁移则是，直接从COS上拉取镜像文件，用该镜像置换一个已存在的CVM实例的系统盘，从而实现迁移。（同理，数据盘的迁移也是一个类似的过程。得先创建CVM或者CBS，再使用云服务器迁移的功能。） 离线实例迁移 [图片] 下面是相关操作步骤，仅供参考。 1、 点击【新建】按钮新建一个迁移任务 [图片] 2、了解迁入准备工作 [图片] 3、填写相关信息，开始迁移。 填写任务名称 填写COS链接，即镜像文件的COS链接，同导入镜像时需要填写的COS链接。 选择需要迁入的云主机。正如我上面提到的，使用服务迁移的功能进行迁移，是需要预先创建一台CVM，然后将导入的镜像置换此台CVM的系统盘，从而完成迁移。 [图片] 4、等待迁移任务完成，可以在控制台中看到进度。 [图片] 5、迁移100%完成之后，用户则可以到云主机控制台找到刚刚迁入的云主机，重新开机启动即可。 离线数据迁移 离线数据迁移指的是迁移数据盘。数据盘也是可以制作成一个镜像，上传至COS，然后使用【离线数据迁移】的功能，将数据盘的镜像文件迁移到CBS中。相关步骤类似【离线实例迁移】。 [图片] 1、 点击【新建】按钮新建一个迁移任务 [图片] 2、了解迁入准备工作 [图片] 3、填写相关信息，开始迁移。 填写任务名称 填写COS链接，即镜像文件的COS链接，同导入镜像时需要填写的COS链接。 选择需要迁入的云硬盘。正如我上面提到的，使用服务迁移的功能进行迁移，是需要预先创建一个CBS云盘，然后将导入的数据盘镜像置换该云盘，从而完成迁移。 [图片] 4、等待迁移任务完成，可以在控制台中看到进度。 [图片] 5、迁移100%完成之后，用户将此云盘挂载到云主机即可。

腾讯云服务器购买配置的大小，主要是根据网站的流量来决定的。在这里我也不说太多专业性的东西，说的太多，你反而更迷惑。这里有腾讯云官方对服务器需要购买多大配置的的介绍 https://cloud.tencent.com/redirect.php 你看下，可能就明白了，