网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 配置内容安全网关代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”即可。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

接口功能介绍 漏洞扫描检测结果查询 接口约束 已经签约安全卫士服务协议 URI POST /v1/vulnerability/show 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 taskId String 任务id 2121313 status Integer 任务状态 0：未开始 1：进行中 2：已完成 3/4/5/6：取消执行 0 startTime String 开始时间 20220506 00:00:00

本节介绍如何使用 SASLSSL 接入点接入Kafka,文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 接口地址及证书下载，需使用内网同一个VPC访问，实例端口为8098。具体信息从控制台实例详情菜单处获取，如下图所示，点击中间下载箭头即可下载证书。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm","");

本节介绍如何扫描基线。 支持扫描全部、部分基线，也支持对基线中的部分检查项进行扫描。 扫描基线 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 单击列表右上角的“扫描基线”。 4. 在弹出的扫描窗口中设置基线范围和扫描对象。 5. 设置完成后，单击“确认”即可开始扫描。 扫描基线检查项 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 单击列表右上角的“扫描”，即可开始扫描检查相应容器、镜像和节点是否符合该基线的安全规则。

本节介绍如何管理弱口令字典及弱口令检测。 添加弱口令字典 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 弱口令”，进入弱口令页面。 3. 单击“添加弱密码”，进入添加弱密码页面。 4. 在添加弱密码页面输入字典名称（必填）、描述信息（非必填）、标签（必填）、是否启用，输入弱口令信息。 5. 单击“保存”按钮，系统提示保存成功，弱口令字典创建成功。 管理弱口令字典 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 弱口令”，进入弱口令页面。 3. 查找字典：搜索框支持按字典名称、启用状态查找目的弱口令字典。 4. 字典管理：在字典列表内，支持对已添加的字典进行编辑、删除、开启、关闭。

为什么执行ls命令时，会卡顿或无响应？ 默认情况下，ls会遍历目录下的所有文件，获取文件的元数据信息并展现给用户，如果目录过大如包含10万个文件，可能需要发出10万个读指令，需要耗费很长的时间。 解决方案： 避免单个目录包含过多的文件，建议单目录下文件数量不超过1万个。 执行ls时采用全路径/usr/bin/ls，不添加colorauto参数，可避免遍历目录下文件，大幅减少读指令数量。 为什么在目录下并发创建文件，每秒创建的文件数量达不到IOPS标称的值？ 创建文件涉及到“为新文件分配磁盘空间”和“将新文件加入目录”至少2个IO指令： “为新文件分配磁盘空间”可以并发执行，并发程度受文件系统大小影响，文件系统越大，并发程度越高。 “将新文件加入目录”如果修改的是同一目录，不能并发执行。修改速度受IO时延影响较大，如文件系统时延为1ms，无并发的情况下1秒内能完成1000次IO，单目录的创建性能就不会超过1000文件/秒。 解决方案： 避免单个目录包含过多的文件，建议单目录下文件数量不超过1万个。 扩容文件系统，可以提升文件系统的读写性能。 如何解决向多台云主机中挂载的NFS文件系统中写入数据延迟问题? 问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因： 第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。 第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。 关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600,noac 挂载地址 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600,actimeo0 挂载地址 本地挂载路径2 根据实际情况合理以上方案可要确保云主机1更新文件后，云主机2能立即获取到最新内容。

本节介绍了 通过公网连接Microsoft SQL Server实例（Windows方式）的相关内容。 当不满足通过内网IP地址访问RDS实例的条件时，可以使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for SQL Server实例。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 非SSL连接 步骤 1 启动SQL Server Management Studio客户端。 步骤 2 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为已绑定的弹性公网IP地址。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 3 单击“连接”，连接实例。 结束 SSL连接 步骤 1 下载并上传SSL根证书。 1. 登录管理控制台。 2. 单击管理控制台左上角的 ，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的 ，下载根证书或捆绑包。 5. 将根证书导入弹性云主机Windows操作系统，请参见如何将RDS实例的SSL证书导入Windows/Linux操作系统。 说明 请在原有根证书到期前及时更换正规机构颁发的证书，以提高系统安全性。 对于Microsoft SQL Server，绑定公网IP后，需重启实例才能使SSL连接生效。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为已绑定的弹性公网IP地址。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“选项”，在“连接属性”页签，填选相关信息，并勾选“加密连接”，启用SSL加密（系统默认不勾选“加密连接”，即不启用，需手动启用）。 图 连接属性 步骤 5 单击“连接”，连接实例。 结束

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

审计参数 auditsystemobject 作用：该参数决定是否对数据库对象的CREATE、DROP、ALTER操作进行审计。数据库对象包括DATABASE、USER、schema、TABLE等。通过修改该配置参数的值，可以只审计需要的数据库对象的操作,在主备强制选主场景建议。 影响：不当修改该参数会导致丢失DDL审计日志，请在客服人员指导下进行修改。 锁管理 updatelockwaittimeout 设置并发更新同一行数据时单个锁的最长等待时间，当申请的锁等待时间超过设定值时系统会报错。0表示不会超时，默认值为2min。 连接与认证 sessiontimeout 表明与服务器建立连接后，不进行任何操作一定时间后超时的限制，0表示关闭超时设置。 failedloginattempts 设置密码错误次数上限，输入密码错误的次数达到该参数所设置的值时，账户将会被自动锁定，配置为0时表示不限制密码输入错误的次数。 passwordeffecttime 设置帐户密码的有效时间，0表示不开启有效期限制功能。 passwordlocktime 设置账户被锁定后的自动解锁时间，单位为天。

本节介绍如何对DNS服务进行配置。 操作场景 用户配置本地DNS服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例的名称。 5. 单击“设备管理”。 6. 开启“DNS代理”按钮，可编辑DNS地址。 7. 单击“√”，可保存DNS配置。

1. 登录弹性云主机，创建用户和组，以test用户为例。 groupadd sftp useradd g sftp s /sbin/nologin test 2. 设置用户密码。 passwd test 3. 设置目录权限。 chown root:sftp /home/test chmod 755 R /home/test mkdir /home/test/upload chown R test:sftp /home/test/upload chmod R 755 /home/test/upload 4. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 5. 重启云主机，或执行以下命令重启sshd服务。 systemctl restart sshd 6. 在本地主机执行以下命令，远程连接到服务器。 sftp root@ IP地址 连接成功后，您可以使用交互式的sftp命令。 7. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r

配置内容 提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。 服务薄相关配置 登录云墙控制台，进入【对象】→【服务薄】→【服务】，可直接引用内置或新建。 地址薄准备 登录云墙控制台，进入【对象】→【地址薄】。 单击“新建”，新建地址薄，输入名称和地址信息即可。 配置源/目的NAT策略配置 放行策略配置完成，需针对业务进行访问控制隔离配置，首先配置出站SNAT策略。 1. 打开菜单栏，【策略→NAT→源NAT】，新建策略。 2. 打开菜单栏，【策略→NAT→目的NAT】，单击“新建 > 高级配置”，新建策略。 参数 说明 源地址 依据真实业务确认是否限制源地址。 目的地址 防火墙网卡地址。 服务 业务需放行端口策略，调用服务簿。 转换为IP 业务主机真实网卡地址。

本文介绍跨域互联的相关功能。 创建跨域互联 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，点击左上角【创建跨域互联】。 3. 创建跨域互联页面，配置以下参数。 创建跨域互联实例参数说明： 参数 说明 天翼云4.0资源池 选择天翼云4.0侧的资源池，以搭建跨域互联。 算力网关VPC 选择算力网关侧VPC和子网。 天翼云4.0VPC 选择天翼云4.0侧VPC和子网。 描述 可选项，自定义跨域互联的描述信息。 4. 同意并勾选告知，点击【确定】，将自动创建跨域互联实例。 查看跨域互联详情 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，在跨域互联列表页，选择“已连接”实例操作列中的【查看详情】。 跨域互联详情的参数说明： 参数 说明 跨域互联名称 根据算力网关和天翼云4.0侧所选资源池拼接生成。 跨域互联ID 创建完跨域互联后，系统自动生成。 算力网关资源池 显示算力网关侧的资源池名称。 天翼云4.0资源池 显示天翼云4.0侧的资源池名称。 算力网关VPC 显示算力网关侧的VPC名称。 天翼云4.0VPC 显示天翼云4.0侧的VPC名称。 算力网关子网 显示算力网关侧的子网网段。 天翼云4.0子网 显示天翼云4.0侧的子网网段。 连接状态 跨域互联创建完成后，状态为“已连接”。 描述 显示跨域互联自定义的描述信息。 最佳实践 提供3个场景下的最佳实践，可点击“查看文档”访问。 快捷操作 提供算力网关和天翼云4.0两侧的控制台访问地址。

本文为您介绍删除告警联系人的操作场景、前提条件和操作步骤。 操作场景 当该告警联系人不需要再使用时。您可以在控制台进行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 在“告警联系人/组”界面，单击联系人所在行“操作”列的“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除告警联系人。 6. 或在“告警联系人/组”界面，可勾选多个联系人，单击“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除多个联系人。

本文提供了天翼云AOne会议隐私和信息处理规则查看地址。 天翼云AOne会议隐私和信息处理规则，详情请参见这里。

CentOS7.6系统如何添加静态路由？ 操作场景 为系统添加静态路由，避免重启系统后路由丢失而影响到网络连通性。 操作步骤 以CentOS 7.6操作系统为例。 1. 登录弹性云服务器。 2. 创建或修改静态路由配置文件。 在“/etc/sysconfig/”目录下创建或修改静态路由配置文件staticroutes文件，当系统没有此文件时，可以新建此文件。向文件中添加一行静态路由记录，例如：any net 192.168.3.0 netmask 255.255.255.0 gw 192.168.2.3。 3. 重启网络服务，使静态路由生效。 service network restart 4. 执行以下命令，查看路由信息。 route n

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节介绍了配置安全组规则的操作场景、操作步骤、结果验证。 操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云主机。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“安全组”页签，展开安全组，查看安全组规则。 6. 单击安全组ID。系统自动跳转至安全组页面。 7. 在入方向规则页签，单击“添加规则”，添加入方向规则。 单击“+”可以依次增加多条入方向规则。 添加入方向规则 入方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 8. 在出方向规则页签，单击“添加规则”，添加出方向规则。 单击“+”可以依次增加多条出方向规则。 添加出方向规则 表 出方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 目的地址 目的地址：可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 9.单击“确定”，完成安全组规则配置。

合并下载 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 单击日志合并下载页签。 您可以在合并任务列表中，查看已经合并的任务和文件。 6. 单击创建合并任务 ，配置合并时间段 ，然后单击确定。 在合并任务列表中，您可以看到正在初始化的合并任务。等待任务完成后，单击合并任务名称左侧的下拉框，查看并下载已合并的日志文件。 注意 合并的日志文件会占用空间，因此产生费用，您可在下载后手动进行删除，如未删除系统将会在24小时后将清理合并后的Binlog文件，故请及时下载所需的文件。 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。 日志备份清理 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 找到备份空间使用量一栏，点击日志备份清理按钮。 5. 根据可清理时间段，选择待清理的时间节点，单击确定。 系统将会删除您所选择时间节点之前的所有Binlog文件。 注意 删除Binlog文件可释放部分备份空间，但同时会影响您恢复至任意时间点的功能，建议通过备份空间扩容来满足备份空间不足的需求。 删除Binlog操作为异步任务，单击确定进行删除操作后，您在几分钟后刷新界面，即可看到相关文件已被清理，时间和清理的文件大小有关。

本节为您介绍关闭安全引流服务的操作步骤。 操作场景 用户关闭安全引流业务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已启用安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击对应目标智能网关实例“操作”列的“关闭安全引流”。 5. 单击“确定”，关闭安全引流服务。 6. 然后单击该智能网关实例“操作”列的“删除”，单击“确定”，即可删除不再需要引流的智能网关实例。

本节介绍创建应用组的相关步骤。 操作场景 应用管理功能支持管理系统应用和用户自定义应用，应用需属于一个应用组。系若统应用组无法满足用户需求，用户可添加一个新的自定义应用组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击 “应用组管理>创建应用组”。 5. 根据页面提示填写应用组名称。 6. 单击“确定”，完成应用组创建。

本页为您介绍其他云MySQL迁移到RDS for MySQL时,如何创建RDS for MySQL实例的操作步骤和相关说明。 本页介绍了如何创建天翼云关系数据库MySQL版新实例，详细的创建实例过程能够帮助您更好的开始使用天翼云关系型数据库MySQL。 操作场景 本节介绍在关系数据库MySQL版服务的管理控制台创建实例的过程。 MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 >关系数据库MySQL版”，进入关系数据库MySQL版信息页面。 4. 在“实例管理”页面，单击“创建数据库实例”。 5. 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 6. 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过 步骤7和步骤8 ，直接执行 步骤9 。 7. 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改关系型数据库实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 8. 选择付费方式，完成付费。 说明 本操作仅适用于包年/包月计费方式。 9. 关系数据库MySQL版实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。您可以通过“任务中心”查看结果。在实例列表的右上角，单击刷新列表，可查看到创建完成的实例状态显示为“运行中”。 创建实例时，系统默认开启自动备份策略，后期可修改。实例创建成功后，系统会自动创建一个全量备份。 数据库端口默认为13049，实例创建成功后可修改。

常见错误 1. 请先修改云主机/etc/resolv.conf文件，在首行添加nameserver 100.95.0.1。 答：前置条件，vi /etc/resolv.conf，在首行添加nameserver 100.95.0.1。 2. 端口是否被占用。 答：配置文件重新修改服务启动端口。 3. msemscendpoint地址错误，请重新接入。 答：根据前置文件获取msemscendpoint。 4. Java Not Installed。 答：需要安装java环境。 5. agent path error。 答：上传至云服务器的Agent路径错误。 6. nacos addr or username or password error。 答：nacos的账号密码地址出现错误。

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

本章节提供天翼云人脸识别产品用户操作手册的下载。 参考《天翼云人脸识别用户操作手册》，点击下方链接下载查看。 天翼云人脸识别用户操作手册.pdf

本文主要介绍天翼云账号注册流程。 注意事项 一个手机号最多可注册5个天翼云账号（含已注销3个月内的账号），超出则不再支持注册新的天翼云账号。 注册的手机号与天翼云账号绑定，作为您账号的安全手机号接收相关信息。 短信注册 1. 登录天翼云官网，点击右上角“免费注册”按钮。 2. 填写手机号并通过验证。 3. 勾选协议，点击“注册”按键进行提交： 1. 若您的手机号未注册过天翼云账号，提交后即可完成账号注册。注册成功后，系统自动生成登录名。 2. 若您的手机号之前注册过天翼云账号，您可选择已有账号登录，也可选择继续注册。继续注册将形成新的独立账号。 说明 完成注册后，您可以前往“账号中心” 修改登录名（注册成功时系统会自动生成一个登录名）、设置密码、绑定邮箱、修改手机号等信息。 下次登录时，您可在登录界面选择“短信登录”，使用“手机号+验证码”进行登录。 通过短信注册的账号默认无登录密码，您可通过短信登录后，在“ 账号中心安全设置”页面 修改登录密码，便于后期通过“登录名+密码”登录天翼云官网。 账号注册 1. 登录天翼云官网，点击右上角“免费注册”按钮。 2. 选择账号注册。填写登录名后，设置登录密码，并通过手机验证。 3. 勾选协议，点击“注册”按键进行提交，即可完成账号注册。 说明 完成注册后，您可以前往“账号中心” 修改登录名、设置密码、绑定邮箱、修改手机号等信息。 下次登录时，您可在登录界面选择“账号登录”，使用“登录名+密码”进行登录。

本文向您介绍VPN连接服务的监控概览。 监控是保持VPN可靠性、可用性和性能的重要部分，通过监控，用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态，天翼云提供了云监控服务（CES）。您可以使用该服务监控您的VPN，执行自动实时监控、告警和通知操作，帮助您更好地了解VPN的各项性能指标。

本小节介绍云解析添加MX记录操作方法。 使用场景 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 邮箱配置通常会使用“mail”、“@”作为主机记录。 如需实现邮箱地址是ID加上@ctyun.cn，主机记录填写@。 如需实现邮箱地址是ID加上@mail.ctyun.cn，主机记录填写mail。 记录类型：选MX记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：可以是域名也可以是IP地址，通常由邮箱注册商提供。 MX优先级：数值越低优先级越高，通常由邮箱注册商提供。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

云解析产品以域名为计费单位，根据域名选择的产品规格和计费时长收费。本小节介绍云解析的计费项及价格。 计费项 服务 基础版 高级版 旗舰版 说明 自助服务WEB界面 √ √ √ 自助进行域名解析记录管理 BGP线路 √ √ √ 让最终用户访问到最近的一个DNS节点，极大的提升了解析服务速度 SLA 99.90% 99.99% 99.999% 按版本承诺相应级别的SLA保证 抗攻击防护能力 50,000Q/S 200,000Q/S 500,000Q/S 提供抗DDoS攻击服务 IPv6线路 √ √ √ 提供IPv6的DNS解析服务器，可以解析IPv6地址 网站可用性拨测 六小时一次 一小时一次 十分钟一次 网站可用性监测：向网站指定的HTTP页面发送GET请求，若无响应则判断网站服务中断，发送报警信息 链路丢包率监测：通过ping命令向指定地址发包，监测是否可达 防劫持监测 √ √ √ 防劫持监测包括：解析记录正确性、解析记录可解析性 监测节点数 5 25 40 运行报告 季度报告 月度报告 周报 提供运行统计报告 标准价格（元/年） 10000 20000 100000

Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值95%后，依旧可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。 建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值 。 Kafka服务端支持版本是多少？ Kafka 1.1.0、2.7和3.x版本。 如果您想要创建Kafka实例，具体步骤请参考购买Kafka实例。

本文为您介绍如何创建客户端账号。 操作场景 用户已创建智能网关APP实例，并激活功能，需要创建客户端账号，以便于后期进行客户端登录。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建智能网关APP实例，且已经完成激活。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”，单击目标智能网关APP实例名称，进入客户端账号管理页面。 5. 单击“创建客户端账号”，根据界面提示填写用户名、密码等信息。 6. 单击“确认”按钮。