騰訊云對象存儲COS成本管理是業(yè)務(wù)運維的一項重要內(nèi)容，我們在使用云產(chǎn)品時一定要熟悉其計費規(guī)則，在保證服務(wù)質(zhì)量、數(shù)據(jù)安全的前提下盡可能的降低服務(wù)運營成本，本文探討騰訊云對象存儲COS成本管理方案。

一、權(quán)限&安全管理

我們在使用對象存儲COS時，最先需要關(guān)注的是安全防護(hù)，做好權(quán)限管理及安全管理，避免因流量攻擊帶來損失。

1.1 避免放開公有讀權(quán)限

公有讀權(quán)限允許通過匿名身份直接訪問，有些用戶為了讀寫方便直接設(shè)置訪問權(quán)限為公有讀私有寫，甚至公有讀寫，極不安全；很容易成為黑產(chǎn)攻擊的對象，被盜刷流量，造成財產(chǎn)損失；

1.2 Policy權(quán)限設(shè)置,嚴(yán)格控制權(quán)限。

私有讀寫權(quán)限安全性高，可以有效防止流量盜刷，但是在某些場景下我們又不得放開公有讀權(quán)限。那么放開公有讀權(quán)限后，我們該怎么防止流量盜刷呢？一方面我們可以通過設(shè)置Policy權(quán)限進(jìn)行訪問控制，如限制訪問來源IP，或者給某子用戶授權(quán)；另一方面也可以通過防盜鏈來進(jìn)行安全防護(hù)。

1.3 設(shè)置防盜鏈，避免流量盜刷

設(shè)置防盜鏈時應(yīng)避免允許空referer的情況。防盜鏈雖然能對流量盜刷行為能起到有效防護(hù)，卻也不是100%杜絕；防盜鏈?zhǔn)窃硎腔贖TTP Referer 來實現(xiàn)的，意味著攻擊者可以通過偽造Referer 來實現(xiàn)訪問，故在設(shè)置防盜鏈之后，我們還需要對存儲桶添加必要的監(jiān)控，及時發(fā)現(xiàn)異常請求，減小損失；

1.4 開啟日志管理

日志管理功能能記錄跟存儲桶操作相關(guān)的各種請求日志。開啟日志管理功能，可以幫助我們更好的管理和使用存儲桶。受到攻擊時，也便于我們根據(jù)日志分析攻擊請求，加強防護(hù)。推薦開啟日志管理功能后，將日志集中到指定目錄下，然后使用生命周期來管理日志，定期對日志數(shù)據(jù)進(jìn)行降冷和刪除。

二、監(jiān)控管理

監(jiān)控是保證服務(wù)持續(xù)穩(wěn)定運行的必要手段，我們在配置監(jiān)控的時候不能僅關(guān)注請求的錯誤碼，對于業(yè)務(wù)的請求量也需要倍加關(guān)注，及時發(fā)現(xiàn)異常流量。對象存儲的監(jiān)控可以在云監(jiān)控產(chǎn)品進(jìn)行配置，就成本管理而言，我們主要關(guān)注的對象存儲監(jiān)控指標(biāo) 有存儲量、流量、請求量；這幾個計費項占據(jù)對象存儲成本的大頭。

2.1 存儲量監(jiān)控

目前云監(jiān)控產(chǎn)品暫不支持直接針對存儲量配置告警，但也有最解決方案?？赏ㄟ^云監(jiān)控的拉取指標(biāo)監(jiān)控數(shù)據(jù)接口定時拉取監(jiān)控數(shù)據(jù)，然后通過自定義監(jiān)控上報數(shù)據(jù)到云監(jiān)控，最后在云監(jiān)控配置自定義告警。定時任務(wù)的腳本推薦放到云函數(shù)SCF上跑，方便管理；也可以直接跑在自己的云服務(wù)器CVM上。如果客戶有自己的監(jiān)控系統(tǒng)，也可以將數(shù)據(jù)上報到自建的監(jiān)控系統(tǒng)。

2.2 流量監(jiān)控

對象存儲主要針對外網(wǎng)下行流量、CDN回源流量、跨區(qū)域復(fù)制流量、全球加速流量進(jìn)行收費。在監(jiān)控這塊，我們只配置外網(wǎng)下行流量和CDN回源流量即可。流量監(jiān)控不需要那么高的靈敏度，閾值類型推薦靜態(tài)類型，統(tǒng)計周期按5分鐘，閾值按存儲桶的流量大小及波動情況合理配置即可，告警頻率建議配置1小時以內(nèi)。

2.3 請求監(jiān)控

請求數(shù)的監(jiān)控我們需要格外關(guān)注的是低頻存儲讀請求、歸檔存儲讀請求、深度歸檔存儲讀請求，這幾類的請求單價較高。曾經(jīng)有個客戶，開啟生命周期將對象降冷至低頻存儲、歸檔存儲后，未關(guān)注到降冷后的對象仍被讀取，導(dǎo)致產(chǎn)生了巨額的請求費用。我們的存儲桶在有低頻存儲、歸檔存儲、深度歸檔存儲類型的對象時，一定要加上對應(yīng)類型的請求監(jiān)控。我們在使用生命周期進(jìn)行降冷的時候，首要需要配置的也是這些請求監(jiān)控。

目前云監(jiān)控暫時只支持標(biāo)準(zhǔn)存儲讀請求、低頻存儲讀請求的告警配置，未支持歸檔存儲，深度歸檔的存儲的告警配置。針對深度歸檔讀請求的監(jiān)控，可參考上文存儲量監(jiān)控的方案，通過拉取對象存儲監(jiān)控指標(biāo)再上報的方案。

三、數(shù)據(jù)降冷及清除

定期清理無用數(shù)據(jù)以及數(shù)據(jù)降冷是控制存儲成本的必備手段。

3.1 清理無用數(shù)據(jù)

對于有時效性的數(shù)據(jù)，建議定期刪除。我們可以通過配置生命周期來刪除無用的數(shù)據(jù)，需要格外提醒的是，若對象開啟了版本控制，清理最新版本文件時，也不要忘記清理歷史版本文件。

對于有些數(shù)據(jù)沒有嚴(yán)格的時效性，數(shù)據(jù)類型也不集中時?？梢圆捎脤?shù)據(jù)打標(biāo)簽 + 生命周期管理的方式進(jìn)行數(shù)據(jù)的清理，降冷。

對于偶發(fā)的數(shù)據(jù)清理需求，可以采用清單+批處理的方案。通過清單功能列出所有對象，然后在篩選出需要刪除的對象，最后通過批處理進(jìn)行批量的數(shù)據(jù)刪除。

3.2 文件碎片清理

文件碎片也會占據(jù)存儲空間，需要查看是否有過多的文件碎片，及時清理。

3.3 數(shù)據(jù)降冷

對象存儲支持根據(jù)對象創(chuàng)建時間來進(jìn)行降冷，可結(jié)合生命周期實現(xiàn)降冷的目的。需要格外說明的是，一旦開啟降冷，一定要對降冷后的數(shù)據(jù)類型的請求數(shù)進(jìn)行監(jiān)控（參考上文監(jiān)控管理部分），避免產(chǎn)生高額的請求費用。若暫時無法進(jìn)行監(jiān)控的存儲類型，例如歸檔存儲類型，建議開啟日志管理 ，通過分析日志查看是否有請求歸檔存儲的情況

另外根據(jù)對象存儲規(guī)格與限制要求中的計費限制，低頻存儲、歸檔存儲、深度歸檔存儲都是有最低存儲時間要求，例如低頻存儲時間不足30天，按30天計算；那么即使某低頻存儲對象存儲了1天，而后立即刪除，也會按照30天收費。故低頻存儲按文件修改時間大于30天后沉降即可，歸檔存儲、深度歸檔存儲分別按大于90、180天沉降。

3.3 采用智能分層存儲

生命周期降冷的方式只能針對文件的創(chuàng)建時間來制定規(guī)則，并不能真正區(qū)分?jǐn)?shù)據(jù)是熱數(shù)據(jù)還是冷數(shù)據(jù)。若客戶有沉降低頻訪問數(shù)據(jù)的需求，推薦使用對象存儲的智能分層存儲類型（INTELLIGENT_TIERING）。智能分層存儲類型的對象可存放在標(biāo)準(zhǔn)存儲層和低頻存儲層兩個存儲層，COS 可根據(jù)智能分層存儲類型對象的訪問頻次自動在兩個存儲層之間變換，無數(shù)據(jù)取回費用，可降低用戶的存儲成本。

四、配合其他云產(chǎn)品降低COS成本

4.1 配合CDN降低外網(wǎng)下行流量費用

CDN流量費用比COS流量費用便宜很多，以按量計費的方式為例，大陸公有云地域COS標(biāo)準(zhǔn)存儲外網(wǎng)下行流量是0.5元/GB，而CDN是不高于0.21元/GB，節(jié)省50%以上的

CDN 加速適用于對 COS 存儲桶中的內(nèi)容進(jìn)行下載和分發(fā)，適用于相同內(nèi)容反復(fù)下載的使用場景。對象存儲支持默認(rèn)的CDN加速域名，也支持自定義CDN加速域名；騰訊云CDN也支持防盜鏈設(shè)置，我們在接入CDN的時候，同樣需要注意做好訪問控制，同時添加必要的流量監(jiān)控。

五、成本運營

上文所述僅僅是降低對象存儲成本的一些方法、手段。我們在實際運營的時候，不能只追加更低的價格，而應(yīng)該強調(diào)更適合，從安全風(fēng)險、使用效率、維護(hù)成本、資源成本的角度來綜合考量。當(dāng)對象存儲的成本，或者其他運維資源的成本達(dá)到一點量級的時候，我們就得建立相對于的成本運營體系，關(guān)聯(lián)資源量指標(biāo)與業(yè)務(wù)指標(biāo)，制定成本優(yōu)化的目標(biāo)，嚴(yán)格控制成本增長。

5.1 關(guān)聯(lián)業(yè)務(wù)指標(biāo)與資源量指標(biāo)

以周、月為周期，統(tǒng)計成本，持續(xù)關(guān)注成本變化趨勢。將業(yè)務(wù)指標(biāo)與成本映射，在成本增長的同時關(guān)注業(yè)務(wù)指標(biāo)是否相應(yīng)的增長，以及增長趨勢是否相對應(yīng)，可以讓我們準(zhǔn)確把握成本增長是否符合業(yè)務(wù)增長預(yù)期；

例如用COS作為用戶圖片存儲，那邊存儲量就應(yīng)該是和用戶數(shù)正相關(guān)的，且用戶數(shù)的增長幅度和存儲量的增長幅度接近。

5.2 合理規(guī)劃存儲桶的使用

切忌多個業(yè)務(wù)共用存儲桶的情況，不同的業(yè)務(wù)存儲數(shù)據(jù)不同，業(yè)務(wù)指標(biāo)也可能不同，如果多個業(yè)務(wù)混用同一個存儲桶，那么在成本運營這塊會帶來諸多不便，也無法資源量與業(yè)務(wù)指標(biāo)相關(guān)聯(lián)。建議如下：

- 不同的業(yè)務(wù)使用不同的存儲桶；

- 根據(jù)數(shù)據(jù)的重要程度劃分不同的存儲桶，例如重要數(shù)據(jù)開啟版本控制，跨區(qū)域容災(zāi)，而非重要的數(shù)據(jù)則沒有那么高的容錯容災(zāi)要求；

5.3 成本視圖建設(shè)

視圖是成本分析必不可少的工具，以存儲桶、存儲類型、計費項等角度建立相關(guān)的視圖，用以分析對象存儲成本構(gòu)成，確定成本增長原因，可優(yōu)化的空間。