公共镜像 公共镜像是由华为云官方提供的镜像，适配了裸金属服务器兼容性并安装了必要的初始化插件，所有用户均可使用，涵盖大部分主流操作系统。裸金属服务器规格不同，可供选择的镜像会有所不同（参见裸金属服务器类型与支持的操作系统版本）。 公共镜像特点 操作系统类型：包含基于Linux或者Windows的系统，并定期更新维护。 软件支持：集成了一些裸金属服务器的存储、网络以及用户基本功能正常使用所依赖的相关插件。 这些插件为裸金属服务器功能保障的基本插件，请勿做删除或者修改操作，否则会影响您的基本功能使用。 表2 软件支持 软件 描述 Cloud-init Cloud-init是开源的云初始化程序，能够对新创建裸金属服务器中指定的自定义信息（主机名、密钥和用户数据等）进行初始化配置。 一键式重置密码插件 裸金属服务器提供了一键式重置密码功能，当系统密码丢失或过期时，如果您的裸金属服务器提前安装了密码重置插件，可以在控制台页面设置新密码。 bms-network-config网络配置插件 网络初始化插件主要用于裸金属服务器下发过程网络的自动化配置以及用户误操作导致网络中断场景下裸金属服务器网络恢复。 该插件位于“/opt/huawei”目录下，请勿删除和改动。 SDI卡前端驱动插件 镜像中安装SDI卡前端驱动插件，使裸金属服务器能够支持挂载云硬盘，并且支持从云硬盘启动，实现快速发放能力。 兼容适配：对服务器硬件做了兼容适配。 安全性：公共镜像具有高度稳定性，并且为正版授权。 限制：暂无使用限制。

私有镜像 包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建裸金属服务器，可以节省您重复配置裸金属服务器的时间。 私有镜像特点 兼容适配：只适配了用于导出镜像的同型号服务器，不能保证能正确部署其他型号的裸金属服务器。 功能支持：支持用户自由创建和删除私有镜像，并使用私有镜像部署和重装服务器。私有镜像还支持以下操作： 不同账号之间共享镜像。 不同区域之间复制镜像。 导出镜像至个人OBS桶。 限制：每个用户最多创建50个私有镜像。 费用：私有镜像会收取一定的存储费用。详细计费标准可参考镜像的计费标准。

BMS权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 BMS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问BMS时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对BMS服务，管理员能够控制IAM用户仅能对某一类裸金属服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，BMS支持的API授权项请参见权限及授权项说明。 表1 BMS系统权限列出了BMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表1 BMS系统权限 系统角色/策略名称 描述 类别 BMS FullAccess 裸金属服务器管理员，拥有该服务下的所有权限 系统策略 BMS CommonOperations 裸金属服务器基本操作权限，包括开机、关机、重启、查询等操作 系统策略 BMS ReadOnlyAccess 裸金属服务器只读权限，拥有该权限的用户仅能查看裸金属服务器列表和详情 系统策略 表2列出了BMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 BMS FullAccess BMS CommonOperations BMS ReadOnlyAccess 创建裸金属服务器 √ x x 查看裸金属服务器列表 √ √ √ 查询裸金属服务器详情 √ √ √ 修改裸金属服务器名称 √ x x 启动裸金属服务器 √ √ x 关闭裸金属服务器 √ √ x 重启裸金属服务器 √ √ x 裸金属服务器挂载数据卷 √ √ x 裸金属服务器卸载数据卷 √ √ x 重装裸金属服务器操作系统 √ x x 一键重置裸金属服务器的密码 √ x x

背景介绍 如果您需要对华为云上购买的裸金属服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有BMS的使用权限，但是不希望他们拥有删除BMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用BMS，但是不允许删除BMS的权限，控制他们对BMS资源的使用范围。 如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用BMS服务的其它功能。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见IAM产品介绍。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

使用限制 不支持直接加载外接硬件设备（如USB设备、银行U key、外接硬盘、加密狗等）。 不支持带外管理，您的裸金属服务器资源统一由华为云管理和维护。 不支持热迁移，服务器故障后会对业务造成影响，建议您通过业务集群部署、主备部署等方式实现业务的高可用。 不支持创建没有操作系统的裸设备，即裸金属服务器必须自带操作系统。 创建后不支持更换VPC。 不支持自定义裸金属服务器的CPU、内存等配置，也不支持CPU、内存、本地磁盘扩容，仅云硬盘可以扩容。 仅支持挂载S CS I类型的云硬盘。 由于某些机型的服务器没有配备SDI卡，或者其他服务器本身的原因，有些规格或镜像的裸金属服务器不支持挂载云硬盘。 请勿删除或者修改镜像中内置的插件服务（如Cloud-Init、bms-network-config等），否则会影响您的基本功能使用。 在创建裸金属服务器时，如果选择自动分配IP地址，请不要在裸金属服务器发放完成后修改私有IP地址，避免和其他裸金属服务器IP冲突。 裸金属服务器不支持配置桥接网卡，会导致网络不通。 禁止升级OS自带内核版本，否则服务器硬件驱动会存在兼容性风险，影响服务器可靠性。 当前仅支持从管理控制台关机裸金属服务器，不支持在单独实例OS内部使用关机命令关机裸金属服务器。 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。裸金属服务器没有独立的服务配额，它的实例数、核心数和 RAM 容量与弹性云服务器共用一套配额，在查看配额时，需要在“弹性云服务器”栏目查看，详情请参见查看配额。

支持列表 实例 支持自动化发放裸金属服务器，远程Console登录。 支持租户自主管理裸金属服务器生命周期：查询、启动、关机、重启、删除。 导出服务器列表：将租户名下的所有裸金属服务器信息，以CSV文件的形式导出至本地。 支持一键重置密码。 支持重装操作系统：裸金属服务器OS无法正常启动、操作系统中毒等场景，可以重装OS。 支持故障重建：由于服务器硬件损坏、SDI卡损坏等原因，导致服务器无法正常使用时，可以申请服务器重建。 支持备份服务器：使用云服务器备份，将裸金属服务器的配置和所包含的多个云硬盘数据备份到高可靠性等级的 对象存储服务 中，保障用户数据安全。 支持用户数据注入：通过注入脚本简化服务器配置、初始化系统等。 裸金属服务器支持安装大数据软件产品CDH（Cloudera's Distribution Including Apache Hadoop），并且CDH可以与已购买的华为云上的其他服务通信。 支持通过API管理裸金属服务器。 支持主机监控，可实时获取裸金属服务器的CPU、内存、磁盘I/O等监控指标数据。 支持 云审计 ，记录与裸金属服务器相关的操作事件，便于日后的查询、审计和回溯。 支持标签管理服务，使用标签来标识裸金属服务器，便于分类和搜索。 磁盘 支持为Linux和Windows裸金属服务器挂/卸载云硬盘。 支持共享卷。 支持云硬盘动态扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放裸金属服务器。 支持通过裸金属服务器创建私有镜像。 支持通过外部镜像文件创建私有镜像。 私有镜像还支持不同账号之间共享镜像、不同区域之间复制镜像、导出镜像至个人OBS桶。 网络 支持虚拟私有云、IB网络，满足多种场景的需求。 创建安全组并定义安全组规则，为裸金属服务器提供安全防护。 支持绑定弹性公网IP，满足客户互联网访问需求。 支持绑定多张网卡。

裸金属服务器类型与支持的操作系统版本 裸金属服务器不同规格操作系统兼容性列表如下所示。操作系统版本均为64bit。 使用X86 V4版本（CPU采用Intel Broadwell架构）的服务器请参考表1。 使用X86 V5版本（CPU采用Intel Skylake架构）的服务器请参考表2。 使用X86 V6版本（CPU采用Intel Cascade Lake架构）的服务器请参考表3。 使用鲲鹏CPU的服务器请参考表4。 建议您使用操作系统官方发行版本进行系统构建，避免对发行版本进行裁剪及高度定制，以减少问题发生概率。 操作系统发行版本由操作系统厂商进行不定期版本更迭，部分系统版本厂商已停止维护，不再发布问题修复及安全补丁，建议及时关注厂商公告进行系统升级更新，保证您系统的健壮性。 CentOS 7.4及以下版本的7系列操作系统，因已知的内核问题会导致无法ping通裸金属服务器扩展网卡网关，涉及扩展网卡相关业务建议使用CentOS 7.5及以上系统版本，具体请参考如何处理CentOS 7系列扩展网卡无法ping通的问题？ 表1 裸金属服务器兼容性列表（V4） 类型 Windows CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 本地存储型d1 physical.d1.large Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 通用型规格s3 physical.s3.large physical.s3.xlarge physical.s3.2xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 内存优化型规格m2 physical.m2.small physical.m2.mediumphysical.m2.large physical.m2.xlarge - CentOS 7.2 - - - - - IO优化型规格io1 physical.io1.large Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 GPU加速型规格 physical.p1.large physical.p2.large physical.g1.small - CentOS 7.4/7.5/7.6 - - Ubuntu 16.04 LTS - EulerOS 2.3 表2 裸金属服务器兼容性列表（V5） 类型 Windows CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 本地存储型d2 physical.d2.large physical.d2.tiny physical.d2.xmedium Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 通用型规格s4 physical.s4.medium physical.s4.large physical.s4.xlarge physical.s4.2xlarge physical.s4.3xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat /6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 IO优化型规格io2 physical.io2.xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat 6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 高性能计算型规格h2 physical.h2.large - CentOS 6.9/7.3/7.4/7.5/7.6 - SUSE Linux Enterprise 11.SP4 Ubuntu 16.04 LTS - EulerOS 2.3 高性能计算型规格hc2 physical.hc2.xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat 6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 GPU加速型规格p3 physical.p3.large - - - - - - EulerOS 2.3 表3 裸金属服务器兼容性列表（V6） 类型 CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 通用型规格c6 physical.c6s.3xlarge physical.c6sd.3xlarge physical.c6sd.6xlarge CentOS 7.6/7.8/7.9/8.2 Red Hat 7.6 SUSE Linux Enterprise 15.SP2 Ubuntu 18.04.3 LTS Oracle Linux7.6 EulerOS 2.5 高性能计算型规格h6 physical.h6.large CentOS 7.6/7.8/7.9 - - - - - GPU加速型规格pi6 physical.pi6.3xlarge.6 CentOS 7.6 - - - - - 表4 裸金属服务器兼容性列表（鲲鹏） 类型 CentOS HCE EulerOS physical.ks1ne.2xlarge physical.ks1ne.4xlarge physical.ks1ne.8xlarge CentOS 7.6 Huawei Cloud EulerOS 2.0 EulerOS 2.8 physical.kd1ne.2xlarge physical.kd1ne.4xlarge CentOS 7.6 Huawei Cloud EulerOS 2.0 EulerOS 2.8 physical.kat1.6xlarge - - EulerOS 2.8 physical.ks1.2xlarge CentOS 7.6 - - 父主题： 镜像

安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云服务器、裸金属服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的裸金属服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。

预付费和后付费是什么意思？如何选择？ 预付费：一般为包年包月的购买形式，先购买再使用，系统根据用户选择的裸金属服务器类型和数量计算购买金额，对用户账户金额进行扣除。 后付费（也称按需付费）：按资源的实际使用时长计费，裸金属服务器暂时不支持后付费。 如何选择：在业务场景稳定，需长期使用云资源的情况下，建议选择预付费；在业务发展有较大波动性，且无法进行准确预测，或资源使用有临时性和突发性的情况下建议选择后付费。 父主题： 计费FAQ

到期后影响 图2描述了包年/包月BMS资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图2 包年/包月BMS资源生命周期 到期预警 自包年/包月BMS资源到期前第7天开始，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 资源到期未续费，进入宽限期 当您的包年/包月BMS资源到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问裸金属服务器，但以下操作将受到限制： 扩容云硬盘 修改带宽大小 资源宽限期到期未续费，进入保留期 如果您在宽限期内仍未续费包年/包月BMS资源，那么就会进入保留期，资源状态变为“已冻结”，裸金属服务器会自动关机，您将无法对处于保留期的包年/包月资源执行任何操作。 资源保留期到期未续费，释放且不可恢复 保留期到期后，若包年/包月BMS资源仍未续费，那么计算资源（CPU和内存）、云硬盘和弹性公网IP都将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。客户等级查看方式：登录管理控制台，在右上角用户名下单击“基本信息”，查看账号名后的级别。 关于续费的详细介绍请参见续费概述。 裸金属服务器在正常使用周期内和到期未续费时，控制台上资源列表中的“状态”、“计费模式”会显示不同信息，在此进行统一说明。 表2 各使用周期内的资源状态 使用周期 状态 计费模式 有效期 运行中 包年/包月 剩余xx天到期 到期未续费，进入保留期 冻结 包年/包月 已冻结，xx天后删除 到期未续费，已过保留期 已删除 包年/包月 释放 华为云根据客户等级定义了不同客户的宽限期和保留期时长。客户等级查看方式：登录管理控制台，在右上角用户名下单击“基本信息”，查看账号名后的级别。 表2仅描述裸金属服务器正常使用时的自然状态，排除手动上下电、故障等状态。 关于续费的详细介绍请参见续费概述。

适用计费项 计费项包括裸金属服务器、云硬盘（可选）、弹性公网IP（可选），详细说明如表1所示。 表1 计费项说明 计费项 计费说明 裸金属服务器 对您选择的裸金属服务器规格计费（包括CPU规格、内存容量、本地磁盘和扩展配置等）。 具体请参考裸金属服务器产品价格详情。 云硬盘（可选） 随裸金属服务器一起创建的云硬盘，计费方式与裸金属服务器相同。单独创建的云硬盘，支持按量付费和包年包月，具体请参考云硬盘产品价格详情。 弹性公网IP（可选） 裸金属服务器支持绑定弹性公网IP，按带宽或流量计费，具体请参考弹性公网IP产品价格详情。 假设您计划购买一台Windows镜像的云服务器，并同时购买一块云硬盘，且选择“按带宽计费”的弹性公网IP。在 购买云服务器 页面底部，您将看到所需费用的明细，如图1所示。具体资源单价请以售卖页显示的价格为准。 图1 配置费用示例 配置费用将包括以下部分： 裸金属服务器：根据所选配置（包括vCPU和内存）计算的费用。 云硬盘：系统盘和额外购买的数据盘费用。 公网带宽：根据所选带宽大小计算的费用。 镜像费用：基于Windows镜像的市场价格。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

包年/包月资源 对于包年/包月计费模式的资源，例如包年/包月的裸金属服务器、包年/包月的云硬盘等，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

裸金属服务器退订时怎么扣费？ 退订时如何扣费要根据资源状态、资源使用时长等条件而定，具体规则参见表1。 表1 退订规则说明 退订场景 退订次数 收取退订手续费 收取已消费金额 返还代金券 返还折扣券 5天无理由全额退订（10次内） 每账号每年10次 否 否 是 否 非5天无理由退订（含已生效的续费周期） 不限次数 是 是 否 否 创建失败的资源退订 不限次数 否 否 是 否 未生效的资源订购退订 不限次数 否 否 是 否 未生效的续费周期退订 不限次数 否 否 是 否 更多信息，请参阅退订规则说明。 父主题： 计费FAQ